Обновление Drupal (новые версии Drupal 7.56 и Drupal 8.3.4)

Чт, 22/06/2017 - 10:18

Друпал 7 + Друпал 8

Примечания к выпуску:
Настоятельно рекомендуется обновить существующие сайты на Drupal 7 и Drupal 8, т.к. в новых версиях решена проблема связанная с безопасностью DRUPAL-SA-CORE-2017-003

Описание:

PECL YAML - CVE-2017-6920

Парсер PECL YAML не безопасно обрабатывает объекты PHP во время определенных операций в ядре Drupal. Это может привести к удаленному выполнению кода.

Файл REST ресурса неправильно проверяет - CVE-2017-6921

Ресурс REST файла неправильно обрабатывает некоторые поля при работе с файлами. Сайт будет затронут этим, лишь в том случае, если на сайте включен модуль RESTful Web Services (rest), ресурс REST файла включен и разрешает запросы PATCH, а злоумышленник может получить или зарегистрировать учетную запись пользователя на сайте с разрешениями на загрузку файлов и изменить файловый ресурс.

Файлы, загруженные анонимными пользователями в частную файловую систему, могут быть доступны другим анонимным пользователям - CVE-2017-6922

Частные файлы, которые были загружены анонимным пользователем, но не постоянно прикреплены к контенту на сайте, должны быть видны только анонимному пользователю, который их загрузил, а не всем анонимным пользователям. Ядро Drupal ранее не предоставляло эту защиту, что позволяло избежать уязвимости доступа. Эта проблема смягчается тем фактом, что для того, чтобы быть затронутым, сайт должен позволять анонимным пользователям загружать файлы в частную файловую систему.

Команда безопасности Drupal также получила сообщения о том, что эта уязвимость используется для целей спама, аналогично сценарию, обсуждаемому в PSA-2016-003 для общедоступной файловой системы.

Подробнее об новых версиях

0 Спасибо