11 декабря 2008 в 3:49
Если версия PHP>5.2, то нет смысла обновлять до 6.8, потому что это откат патча безопасности, который был выпущен в 6.7. (См. http://drupal.ru/node/22596)
Оригинал: SA-2008-073 - Drupal core - Multiple vulnerabilities
Описание
Множественные уязвимости и слабые места были найдены в Drupal.
Подделывание запросов на другие сайты (Cross site request forgery)
Система обновлений содержит уязвимость к подделыванию запросов на другие сайты.
Злонамеренные пользователи могут использовать суперпользователя (user 1) для выполнения старых обновлений, которые приводят к разрушению базы данных.
Cross site scripting
Когда формат ввода удален, не весь существующий контент на сайте обновлен, чтобы отобразить это удаление. Подобный контент отображеется без фильтрации. Это может привести к атакам cross site scripting, когда вредные теги больше не исключатся из "злонамеренного" контента, который был размещен ранее.
Затронутые версии
- Drupal 5.x версии ниже 5.13
- Drupal 6.x версии ниже 6.7
Решение
Установить последнюю версию:
- Drupal 5.x - обновиться до Drupal 5.13.
- Drupal 6.x - обновиться до Drupal 6.7.
Обратите внимание: файлы robots.txt и .htaccess были изменены и должны быть замещены.
Файл settings.php НЕ был изменен и может быть оставлен как есть, если обновляется текущая версия Drupal.
Если вы не можете обновиться немедленно, вы можете применить патч для того, чтобы обезопасить свою установку, пока вы не сможете сделать полное обновление. Патчи исправляют уязвимости, но не содержат изменений, которые есть в этих версиях
- Для Drupal 5.12 используете патч SA-2008-073-5.12.patch.
- Для Drupal 6.6 используете патч SA-2008-073-6.6.patch.
Сообщил
Обе уязвимости обраружил David Rothstein (David_Rothstein).
Комментарии
А я уже до вашего сообщения обновиться успел
Спасибо, Влад, за отличный анонс!
Прилагаю архивы измененных файлов
Версия для 6.7 включает патченый модуль коментов (подробности Патч для коментариев)
Master of Tragedy, а предупредить остальных?!
То есть, как я понимаю, обновления базы не происходит с перехода с 6.6 на 6.7, то есть update.php запускать не требуется?
полезно
Спасибо
Выложите, пожалуйста, оч прошу, текст нового htaccessa!
при обновлении до 6.7 не хочет работать XML Sitemap 6.x-1.x-dev (2008-Дек-09)
нельзя сделать update.php, пишет что этот модуль уже отослал заголовок
В .htaccess поменялась только одна строка - остальное комментарии.
Найти:
Заменить на:
Патч прилагаю.
XML Sitemap 6.x-1.x-dev (2008-Дек-09) глючный.
Таже беда
Предыдущая версия работает. Кажется от 6 декабря.
Друзья, насчёт XML Sitemap 6.x-1.x-dev (2008-Дек-09) вас разве честно не предупреждали?
This is the porting of code from 5.x-2.x-dev; it also fixes some issues present in 6.x-0.x-dev.
It's not ready for production uses.
http://drupal.org/node/335174
Рабочая ветка этого модуля XML Sitemap 6.x-0.x-dev. Я тоже ставил единицу, тоже у меня не пахала. юзайте ноль, пока что.
странная у них номерация версий ?!
Уже вот и 6.8 и 5.14 http://drupal.org/drupal-6.8, они их пекут, как пироги...
скорее блинчики, пироги дольше... )))
Я только успела загрузить 5.13 и 6.7, а они еще раз обновили.
Влад, поменяй заголовок, пропиши в нём свежие версии! Неохота новую тему забубенивать, каждый раз как у них там версия выходит)
2 andypost
Андрей, а в 6.8 всосался твой патч с комментариями, или нет?
в 6.8 нет патча, я вообще не рекомендую откатываться на 6.8 если версия php >= 5.2
5.14 6.8
жесть
я только один сайт успел обновить
что за дела?
чего то как то
половина модулей еще в dev , такими темпами, скоро 6.10 будет
М-м-м, то есть, если я уже вчера обновился до 6.7, можно дальше не обновляться? Версия php у меня 5.2.0-8+etch13 (сервер, как видно на дебиан
И ещё, скажите, пожалуйста, если я сейчас не обновляюсь на 6.8, потом перескочить сразу с 6.7 на 6.9 можно будет или надо будет сначала проапдейтиться до 6.8?
Без проблем!
>>EllECTRONC
Спасибо, а то я уже запаниковал -)