Собираемся с духом и обновляемся до 5.10 и 6.4!
- Номер сообщения об уязвимости: DRUPAL-SA-2008-047
- Проект: ядро Друпал
- Версии: 5.x, 6.x
- Дата: 13 июля 2008
- Риск безопасности: Очень опасно
- Тип уязвимости: удалённая
- Уязвимости: множественные уязвимости
Описание
Множественные уязвимости обнаружены в Друпал.
CROSS SITE SCRIPTING
A bug in the output filter employed by Drupal makes it possible for malicious
users to insert script code into pages (cross site scripting [
http://en.wikipedia.org/wiki/Cross-site_scripting ] or XSS).
A bug in the private filesystem trusts the MIME type sent by the browser,
enabling malicious users with the ability to upload files to execute cross site
scripting attacks.
These bugs affects both Drupal 5.x and 6.x.
ARBITRARY FILE UPLOADS VIA BLOGAPI
The BlogAPI module does not validate the extension of uploaded files, enabling
users with the "administer content with blog api" permission to upload harmful
files.
This bug affects both Drupal 5.x and 6.x.
CROSS SITE REQUEST FORGERIES
Drupal forms contain a token to protect against cross site request forgeries [
http://en.wikipedia.org/wiki/Cross-site_request_forgery ] (CSRF). The token may
not be validated properly for cached forms and forms containing AHAH elements.
This bug affects Drupal 6.x.
User access rules can be added or deleted upon accessing a properly formatted
URL, making such modifications vulnerable to cross site request forgeries
(CSRF). This may lead to unintended addition or deletion of an access rule when
a sufficiently privileged user visits a page or site created by a malicious
person.
This bug affects both Drupal 5.x and 6.x.
VARIOUS UPLOAD MODULE VULNERABILITIES
The Upload module in Drupal 6 contains privilege escalation vulnerabilities for
users with the "upload files" permission. This can lead to users being able to
edit nodes which they are normally not allowed to, delete any file to which the
webserver has sufficient rights, and download attachments of nodes to which they
have no access. Harmful files may also be uploaded via cross site request
forgeries (CSRF).
These bugs affect Drupal 6.x.
Уязвимые версии
- Drupal 5.x ниже 5.10
- Drupal 6.x ниже 6.4
Решение
Установите последнюю версию:Install the latest version:
- Drupal 5.10 (http://ftp.drupal.org/files/projects/drupal-5.10.tar.gz)
- Drupal 6.4 (http://ftp.drupal.org/files/projects/drupal-6.4.tar.gz)
Если вы не можете обновиться немедленно, вы можете применить патч, чтобы защитить вашу установку Друпал, пока вы не сделаете полноценное обновление. Патчи исправляют уязвимости безопасности, но не содержат некоторые исправления, которые есть в новых версиях.
- Для Drupal 5.9 нужно применить патч SA-2008-047-5.9.patch (http://drupal.org/files/sa-2008-047/SA-2008-047-5.9.patch)
- Для Drupal 6.3 нужно применить патч SA-2008-047-6.3.patch (http://drupal.org/files/sa-2008-047/SA-2008-047-6.3.patch)
Комментарии
drupal.ru обновлён до 6.4
Типа "Даже не пытайтесь"
что-то дуплей на эти версии сегодня много
Надо просто одну из тем про 6.4,5.10, закрепить сверху трэкера и вынести на главную
То, что дублей много - хорошо.
Значит все стоят на страже безопасности своих сайтов и следят за обновлениями.
Поздравляю за отличную реакцию.
Теперь можно идти и спосойно обновлять все свои сайты...
да не в реакции Влад, у меня просто временной интервал впереди на четверть суток
Интересно было бы знать что НЕ НУЖНО обновлять.
Я так понимаю темы например обновлять не нужно?
До 5.8 и 5.9 никак руки не доходили обновить, а теперь сразу до 5.10 обновился) все кроме .htaccess, robots.txt и settings.php - надеюсь, в них изменений нет?
Да, что-то зачастили. Только недавно до 5.9 обновлялись. Хотя с одной стороны может и хорошо, что так быстро закрываются уязвимости, а с другой такая частота заставляет всё время беспоится об обновлениях
Для шестёрки зафиксили описочки из за которых она притормаживала. Радует… будем пробовать.
Перезаливать полностью дистрибутив, или достаточно заменить некоторые файлы?
Обновил свой www.mobyart.ru с 5.7 до 5.10
Шаблон тоже обновился, который я переделал по себя В итоге нужно опять переделывать. Файлы заменились.
Будьте внимательны при обновлении!
Темы нужно разносить, а не править наживую…
mkudrin стоило просто скопировать стандартную темку на sites/all/themes и не было бы никаких проблем.
Ошибка в "Если вы не можете обноситься немедленно"
Спасибо, пошел обновляться
А вот и ложка дегтя.
После обновления 5.8/5.9/5.10 перестал работать стандартный кеш страниц для анонимов.
http://drupal.ru/node/18873
Русское сообщество молчит. Никому кеш не нужен, что ли?
http://drupal.org/node/302784
Англо-язычное сообщество молчит, так же.
В связи, с тем, что кеш мне нужен как воздух, я начал писать свою схему кеширования.
Опубликую в блоге.
Предварительная информация:
кешируются как ноды, так и списки.
кеширование распределено между ролями. Для каждой роли свой кеш.
кеш никогда не сбрасывается, кроме случаев обновления/удаления
сброс происходит не для всего кеша, а только для данной страницы.
кешируются алиасы путей на сайте, выигрыш от 10 до 30 запросов в базу, в зависимости от количества ссылок на странице.
По замерам на локальном хосте такие данные:
Для списков материалов, для анонима: