Drupal 6.x に、OpenID 認証におけるバイパスの脆弱性（Drupal 5.x に関しては、OpenID モジュールのセキュリティアナウンスとして別途発表されているようです）と、トリガーモジュールのアクションにおけるクロスサイトスクリプティング（XSS）の脆弱性が、Drupal 6.x と 5.x に、ファイルダウンロードにおけるアクセスバイパスの脆弱性と、非掲載のコメントにおけるアクセスバイパスの脆弱性という複数の脆弱性が見つかったようで、それらの問題へのセキュリティフィクスのみが行われた Drupal 6.18 および 5.23 と、セキュリティフィクスに加えいくつかのバグフィクスも行われた Drupal 6.19 がリリースされました。

セキュリティリスクは Critical で、アップグレードについては、いつも通り Upgrading your your existing Drupal 5 and 6 sites is strongly recommended. （アップグレードを強く推薦） ということです。

また、Drupal 7 のリリースと同時に Drupal 5.x のメンテナンスが終了することもあり、今回のアナウンスでも、Drupal 5.x サイトは Drupal 6.x へアップグレードすることが推薦されています。

続きを読む