DRUPAL*DRUPAL

Drupal 6.x と 5.x で、読み込むテンプレートファイルを選択する際に Windows（Web サーバの種類は問わず）でのパスの処理について考慮されていないことによる、ローカルファイルインクルージョンの脆弱性が見つかったようで、その問題へのセキュリティフィクスといくつかのバグフィクスが行われた Drupal 6.10 および 5.16 がリリースされていました。

今回の脆弱性に対するセキュリティリスクは Highly Critical （高い） となっていますし、いつも通り Upgrading your your existing Drupal 5 and 6 sites is strongly recommended. （アップグレードを強く推薦） されていますので、早急にアップグレードした方がよさそうです。

XREA サーバの OS についてちょっと調査してみたところ、ちょっと古い情報（古すぎ？）だったけど、ユーザからの質問に対して s100 までのサーバーは RedHatLinux 7.3 がベースに、s101 以降は、SuSE 9.1 x86_64 版がベースになっています。 と回答されているのを見つけたので、XREA では基本的に Linux 系のディストリビューションが採用されているっぽいです。

[参考]

Drupal 6.10 and 5.16 released | drupal.org
drupal 6.10 | drupal.org
Drupal 5.16 | drupal.org
SA-CORE-2009-003 - Local file inclusion on Windows | drupal.org
SA-CORE-2009-004 - Local file inclusion on Windows | drupal.org
XREA&CORE SUPPORT BOARD - View Single Post - Linux OSの、ディストリビューションは？