本当は、tipsの続きでサブテーマについて実験してみようと思っていたのですが、さる2010年3月4日（日本時間）に6.16がリリースされたのでそちらのアップデートの確認作業に時間がとられてしまったので、Fusionを遊んでみるのは少し延期になりました。

さて、この6.16は重大なセキュリティフィックスがあるとのことで、早めに対応した方が良いでしょう。

セキュリティフィックス

一つはインストール時にクロスサイト・スクリプティングの危険があります。これはインストールされていないサイトでのみ影響がある問題です。次にdrupal_goto()のフィッシング・アタックに使わえる可能性があるというもので、これはサイト運営者にとってはかなり頭の痛い問題です。次にLocaleモジュールのクロスサイト・スクリプティングの問題です。大抵の日本のサイトは使っていると思いますので、影響必至です。最後にブロックされた状態のユーザのセッションを復活できるという問題です。セッションを閉じた状態でユーザをブロックした場合に発生するそうです。

その他重要な変更点

lock.incという新しいロック機能サブシステムがサポートになりました。これは新しいテーブル「semaphore」が必要になるため、update.phpを実行しないと「テーブルが存在しない」というエラーが発生し続けることになります。※新規インストールの場合は、関係ありません。

あと、.htaccessが修正されました。パッケージ化インストールプロファイル用の.make ファイルを隠すための修正なので、.htaccessを修正して使っている場合は置き換えでなく該当行を修正する方が安全でしょう（修正は1行だけです）。

新しいlock.incの導入は少々怖いと思う方は、セキュリティ対応だけでも急いだ方が良いでしょう→6用のパッチ