Новые версии Drupal 6.4 и 5.10

Главные вкладки

Аватар пользователя Nikit Nikit 14 августа 2008 в 5:39

Выпущены новые версии drupal, фиксирующие критические уязвимости. Новых функций не заявлено.
Обновление ваших версий до 6.4 и 5.10 "строго" рекомендуется!

Загрузить версию 6.4
Описание изменений к версии 6.4.

Загрузить версию 5.10
Описание изменений к версии 5.10.

Исправлены критические уязвимости (в обоих версиях): SA-2008-047 - ядро Друпал - множественные уязвимости (рассказывать не буду, с прошлого раза стало понятно, что оно и никому не нужно Smile ).

Рекомендуется провести полное обновление, так как патчи 6.3 и 5.9 не содержат дополнительных багфиксов.

Необходимо также запустить update.php, чтобы сбросить кеш.

И еще раз по обновлениям: многие проблемы при обновлении происходят из-за невнимательного чтения файла upgrade.txt - это полноценная инструкция, расположенная в комплекте друпала.
А также, имхо, проблемы возникают, когда изменяют "родные" модули друпала (тех что находяться в папке modules, sites/all/modules не в счёт), а иногда файлов в папках includes, misc, чего всегда не рекомендовалось делать, и последующей перезаписью новой версией. Пожалуйста, если у вас есть такие фиксы, записывайте свои изменения, потом проводите её после обновлений.

Комментарии

Аватар пользователя beerman beerman 14 августа 2008 в 7:05

что-то зачастили... не к добру

простая замена

includes/file.inc
modules/blogapi/blogapi.install
modules/blogapi/blogapi.module
modules/filter/filter.module
modules/user/user.module

поможет?

Аватар пользователя Nikit Nikit 14 августа 2008 в 7:11

по крит.уязвимости да, по багфиксам там еще несколько замен.
ну если крит-ая появляется, они помоему почти сразу выставляют.

Аватар пользователя VladSavitsky VladSavitsky 14 августа 2008 в 11:23

То, что часто стали делать релизы с исправлением уязвимостей может говорить о том, что Друпал становится широко применяемым и соответственно находятся желающие поискать дыры в безопасности...

Аватар пользователя SergeyAlexeev SergeyAlexeev 14 августа 2008 в 20:56

<a href="mailto:andypost@drupal.org">andypost@drupal.org</a> wrote:
Есть автоматическое оповещение, а вы хотиче, чтобы за вас еще и прожевали?

А почему бы и нет? Это сделает друпал более безопасным и удобным для поддержки. Безопасным - потому как можно будет накатывать обновления сразу как только они появляются, а не "как нибудь завтра, когда со временем станет посвободнее". Есть риск, что сам модуль автообновления создаст дыру в безопасности, но эта проблема думаю решается.
p.s. по моему тот же битрикс содержит такой функционал.

Аватар пользователя Ветер Ветер 15 августа 2008 в 0:24

Колеса нельзя, а вот если произошел прокол на ходу, то в некоторых машинах (особенно у военных) есть спецсистема для подобных случаев.:)

Аватар пользователя Ветер Ветер 18 августа 2008 в 6:27

Я бы даже добавил - Очень Настойчивое оповещение. Пока не обновите будет слать каждый день.

Я сделал бы еще жестче. Если критическая уязвимость, то вырубать сайт, пока не обновят.

Аватар пользователя mkudrin mkudrin 14 августа 2008 в 20:06

после обновления выдал ошибку:

PHP register globals Enabled ('1')
register_globals is enabled. Drupal requires this configuration directive to be disabled. Your site may not be secure when register_globals is enabled. The PHP manual has instructions for how to change configuration settings.

сайты после обновления остались работоспособны даже с этой ошибкой. www.ruseuromedia.ru и www.c-d-n.ru

к чему бы это?

может downgrate сделать?

Откатился назад до 5.5. Чегото я не правильно обновил. Подскажите какие файлы именно нужно поменять чтобы с 5.5 на 5.10 перейти без промежуточных версий.

Аватар пользователя restyler restyler 14 августа 2008 в 22:44

"SergeyAlexeev" wrote:
А почему бы и нет? Это сделает друпал более безопасным и удобным для поддержки. Безопасным - потому как можно будет накатывать обновления сразу как только они появляются, а не "как нибудь завтра, когда со временем станет посвободнее".

и еще чтобы сам диффы делал и если модификации на ядро имели место быть - мерджил аккуратненько!

Аватар пользователя SergeyAlexeev SergeyAlexeev 14 августа 2008 в 23:18

"<a href="mailto:andypost@drupal.org">andypost@drupal.org</a>" wrote:
А колеса у машины на ходу менять можно? Это из серии - хочк чтобы все делалось за меня :)

нет, не так. хочу, чтобы все было _удобно_.

эх вы, лень - она же двигатель прогресса )))

Аватар пользователя Ветер Ветер 15 августа 2008 в 10:48

"SergeyAlexeev" wrote:
нет, не так. хочу, чтобы все было _удобно_.
эх вы, лень - она же двигатель прогресса )))

-----------------------------------------------------

Ну да, леняться одни, а прогресс двигают другие.

ps. To Admin: Что-то квохчит у вас неправильно. Выделенной показывается только первая строчка.

Аватар пользователя Nikit Nikit 15 августа 2008 в 3:38

Как можно провести автообновление:
Программа (неважно какая), действует от лица админа сайта, имеет полные права на фтп:
Производит только минорные обновления дру.
1. стучит каждый час/день/неделя за обновлением дру
2. обновление есть, выкачивает
3. если время обновления подошло
4. переводит сайт в режим оффлайн - тут вопрос будет ли однозначно переводиться, и надо проверять текущую загрузку
5. делает бекап бд и файлов - либо вытягивать сразу по сети, либо туда куда-то ложит, придется вести какойто контроль за валидностью архивов
6. удаляет папки includes/misc/modules/scripts/themes и некоторые файлы в корне - спорный вопрос по некоторым папкам, но в чистом случае так
7. если удаление прошло (а что делать, если не удаляется?), то скопировать те же папки и файлы с нового архива.
8. если копирование прошло (а если не прошло?), то запустить update.php - что делать, если пойдут ругательства (откат бд и файлов), и как за этим уследить
9. включить сайт (а если не включается), провести какойнить тест.
Что упустил?
Ответом на вопрос "Что делать/не получается" возможно автоматическое сообщение админу сайта, о проблемах.

Аватар пользователя mkudrin mkudrin 15 августа 2008 в 12:05

"<a href="mailto:andypost@drupal.org">andypost@drupal.org</a>" wrote:
а почему бы просто не отключить register_globals как рекомендуют для безопасности...

Прошу прощения а где отключить register_globals? в модулях я не нашел.

Аватар пользователя olk olk 15 августа 2008 в 12:16

Вот по этому я и написал про .htaccess Smile
Отключить можно или в php.ini - если есть к нему доступ,
или через .htaccess

Аватар пользователя olk olk 15 августа 2008 в 16:20

при апгрейде с 6.3 на 6.4 возвращается взад размер поля links в таблице {watchdog} , что на рускоязычных (в связи с тем что в UTF-8 для RU используется двухбайтовая кодировка) сайтах частенько приводит к возникновению предупреждения при сохранении материала или других действиях ...
лечится увеличением размерности этого поля (я ставлю 800 - обычно хватает)

Аватар пользователя total total 17 августа 2008 в 22:25

Настройки просмотра комментариев - если юзверь не авторизирован, то эта фишка не срабатывает(((

а если залогинился-то все работает....я про drupal.ru

возможно так оно у всех с этой приблудой и возможно так оно и должно быть, и если так, то вполне логично было бы показать незареганному юзверю - мол для настройки показа камментов нужно зарегаться, или сделать для всех , в т.ч. и для незареганных юзверей чтоб эти кнопочки работали...

юзабилити, млин, такая вот штука, плохо когда юзверь обламывается жмакая на неработающие кнопки....извините, если не в тему...

Аватар пользователя Ветер Ветер 18 августа 2008 в 6:20

Тут вот подумал.
На .masterhoste есть фишка - тестирование сайтов на вандалоустойчивость.
Работает ли она на друпал сайтах? И что кажет?
Вопрос к Аджану.