Les pétouilles du jour sont arrivées sur drupal 5.x et 6.x. Donc on passe à Drupal 6.6 et Drupal 5.12.

Quelques pétouilles ont été découvertes sur drupal 5.x et 6.x. C'est donc patch timine...

Une belle série de joyeusetés a été colmatée dans cette version. Cela commence par du classique Cross Site Scripting à l'évidence via le module upload (avec une série d'autres vulnérabilités dans le module). Ensuite au menu nous avons de l'exécution de code via le module BlogAPI. Et pour le dessert un plus exotique cross site request forgeries par l'API Forms. Et cela toute version confondues (5.X et 6.X).

Petite surprise et grosse incompréhension lorsque Planet Libre s'est mis à ne plus référencer mes billets. Je me suis alors dis Shoula, j'ai encore trop parlé de développement, je me suis fait zappé par Sébastien pour de bon

Et bien pas du tout, mauvaise langue que je suis, car le problème est un vilain BUG dans Drupal.

Un bel assortiment de correction de vulnérabilités dans cette nouvelle version de Drupal. Sérieux, c'est très complet, cela va du cross scripting à l'injection SQL en passant par les attaques de session.

Comme certains me l'ont fait remarqué, depuis le passage à la version 6 de Drupal, les notifications par courriel ont volées. Le coupable est le module Notify qui n'est pas porté dans cette version.

Drupal 6 est sans aucun doute une version majeure. Plus ergonomique, plus de fonctions, plus de vélocité et près de 4mo de Patch par rapport à la 5.7. Il était donc grand temps que je fasse la migration vers cette nouvelle mouture. Et après une journée complète passée là dessus, une chose est certaine, c'est de loin la migration Drupal la plus pénible que j'ai eu à réaliser depuis que je travaille avec cet outil.

Drupal 6^ième du nom en arrivant à sa RC3, il était grand temps pour moi de jeter un oeil à cette nouvelle mouture pour décider si la migration était envisageable et bien sur qu'est-ce que cette version a de neuf à proposer.

Une nouvelle version est donc tombée hier corrigeant quatre anomalies mais cette fois aucun soucis de sécurité. Ce qui n'était pas le cas, loin de là de la 5.6 qui colmatait 3 failles et plus de quinze anomalies.

Lorsque je suis tombé la première fois dessus, le module Drupal path me semblait être un bonne idée pour Artisan. Allié avec le module contrib pathauto, il permettait de transformer automatiquement les vilaines URL de drupal (node/XXX) en plus esthétiques liens formatés à partir du titre du node.