Sicherheitsupdate Drupal 7.20 erlaubt Bilderstellung nur noch über geschützte Funktion

in der neuen Version Drupal 7.20 wird eine Sicherheitslücke behoben, die es ermöglichte massenweise Versionen von hochgeladenen Bildern zu erstellen und so den Server voll laufen zu lassen. Das bedeutet für eigenen Module / Code das Bild-Versionen nur noch über die API-Funktion image_style_url() erstellt werden dürfen. Für Seiten bei denen das nicht möglich ist, muss die neue Konfigurations-Variable $conf['image_allow_insecure_derivatives'] = TRUE; gesetzt werden. Zusätzlich kann es bei der Nutzung von Content-Delivery-Netzwerken Probleme geben, man sollte nach dem Update also die entsprechende Konfiguration prüfen. Den aktuellen Download von Drupal 7.20 findet man unter http://drupal.org/drupal-7.20-release-notes