Вышли Drupal 5.1 и 4.7.6

Главные вкладки

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 30 января 2007 в 8:39

Доступны для загрузки версии Drupal 4.7.6 и 5.1.

Исправлены несколько ошибок, а также проблем с уязвимостями. Подробности здесь - http://drupal.org/drupal-5.1

Настоятельно рекомендуется обновиться:
* Drupal 5.1 загружаем отсюда http://ftp.osuosl.org/pub/drupal/files/projects/drupal-5.1.tar.gz.
* Drupal 4.7.6 загружаем отсюда http://ftp.osuosl.org/pub/drupal/files/projects/drupal-4.7.6.tar.gz.

Комментарии

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 30 января 2007 в 8:53

Залатанная уязвимость оценивается как "Highy critical", т.е. обновляться надо!

Как я понял из описания http://drupal.org/files/sa-2007-005/advisory.txt, проблема в том, что режим просмотра комментариев позволяет злоумышленнику использовать несколько фильтров ввода (а не один, как полагается) для использования произвольного кода.

Выхода три: 1) обновляться до последней версии полностью или 2) ставить патчи (http://drupal.org/files/sa-2007-005/SA-2007-005-5.0.patch для Drupal 5.0); 3) либо ручками проделать следующее: отключить модуль комментариев, отменить права на комментирование для всех пользователей или ограничить всех одним форматом ввода.

Аватар пользователя smile smile 30 января 2007 в 13:21

Если я правильно понимаю, патчи затрагивают 2 модуля:

comment.module
node.module

Не проще проделать следующее: ручками вытащить из новго дистриба эти два модуля и положить их на сервер туда, где лежат "багнутые", которые помоложе?

Аватар пользователя axel axel 30 января 2007 в 20:45

Так патчи же предлагаются для скачивания - берем патч и прикладываем, он еще меньше по размеру чем целый модуль.

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

Аватар пользователя dyp@drupal.org dyp@drupal.org 30 января 2007 в 13:31

проще.
но на самом деле исправлений гораздо больше. т.к. работа идет перманентно, правятся мелкие баги. все они включаются в версии которые выходят при обнаружении уязвимостей.
Если взять для примера system.module то в 5.0 входила версия 1.440.2.2 а в 5.1 — 1.440.2.4

Аватар пользователя Лена Лена 2 февраля 2007 в 0:52

Подскажите пожалуйста какую версию лучше установить,
пыталась drupal-5.1.tar.gz выдает замечания при установке
undefined variable в модулях form.inc ,common.inc ?
Стоит Апач,php5,mysql

Аватар пользователя Dan Dan 2 февраля 2007 в 6:57

эта тема уже обсуждалась - ничего страшного в этих замечаний нет

не обращай внимания (или отключи вывод предупреждения).

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 2 февраля 2007 в 8:42

У меня тут на форуме работа такая - про отключение варнингов писать. Вот пишу:
Трах-тибидох! Добавьте в файл .htaccess строку "php_value error_reporting 7" (без кавычек, размуеется) и они перестанут вас беспокоить. (Кстати, никто не знает аналогичного заклинания против налоговых органов, а? Smile
Говорят, в 5.2 их уже не будет. Некоторые верят...

Аватар пользователя Dan Dan 2 февраля 2007 в 9:07

> У меня тут на форуме работа такая - про отключение варнингов писать
Помести это в свою подпись, дабы не нибирать каждый раз Smile

> (Кстати, никто не знает аналогичного заклинания против налоговых органов, а? Smile
Трах-тибидох-оффшор? Smile

Аватар пользователя sindar sindar 3 февраля 2007 в 14:17

заливаю на хост, запускаю установку, кушает данные для доступа, а на следующий этап ?profile=default не переходит

Аватар пользователя B.X B.X 5 апреля 2007 в 13:12

"У меня тут на форуме работа такая - про отключение варнингов писать. Вот пишу:
Трах-тибидох! Добавьте в файл .htaccess строку "php_value error_reporting 7" (без кавычек, размуеется) и они перестанут вас беспокоить."

Всё равно беспокоят... всякие user warning, duplicate entry и тд...
может лучше вставить: php_value error_reporting "E_ALL & ~E_NOTICE"

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 5 апреля 2007 в 13:15

Если не ошибаюсь, это эквивалентные строки.
А в целом - вроде бы в следующей версии Drupal это безобразие пофиксили. Чуть ли не сам "отец-основатель" самолично. Smile


Я ставлю строчку "php_value error_reporting 7" в файл .htaccess, а вы? Smile Полный русский перевод Drupal 5.x и еще некоторых модулей.

Аватар пользователя B.X B.X 5 апреля 2007 в 13:27

странно, но значит php_value error_reporting 7 у меня не работает...
а php_value error_reporting "E_ALL & ~E_NOTICE" всё прекрасно работает...
зависит от настроек php на сервере?

хех... ну значит будет теперь всё прекрасно... вообще-то, сколько помню, на Друпале всегда были эти предупреждения...
интересно, их нельзя выводить только на админской странице?

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 5 апреля 2007 в 13:32

Не знаю, может я ошибаюсь :). Будет полезна, наверное такая справочка (фрагмент переведенного php.ini из комплекта Denwer):

; Директива error_reporting должна задаваться в виде битового
; поля. Его значение можно устанавливать с помощью следующих констант,
; объединенных оператором | (OR):
; E_ALL - Все предупреждения и ошибки.
; E_ERROR - Критические ошибки времени выполнения.
; E_WARNING - Предупреждения времени выполнения.
; E_PARSE - Ошибки трансляции.
; E_NOTICE - Замечания времени выполнения (это такие
; предупреждения, которые, скорее всего,
; свидетельствуют о логических ошибках в
; сценарии, - например, использовании
; неинициализированной переменной).
; E_CORE_ERROR - Критические ошибки в момент старта PHP.
; E_CORE_WARNING - Некритические предупреждения во время старта PHP.
; E_COMPILE_ERROR - Критические ошибки времени трансляции.
; E_COMPILE_WARNING - Предупреждения времени трансляции.
; E_USER_ERROR - Сгенерированные пользователем ошибки.
; E_USER_WARNING - Сгенерированные пользователем предупреждения.
; E_USER_NOTICE - Сгенерированные пользователем замечания.
; Пример:
; показывать все ошибки, за исключением замечаний
; error_reporting = E_ALL & ~E_NOTICE
; показывать только сообщения об ошибках
; error_reporting=E_COMPILE_ERROR|E_ERROR|E_CORE_ERROR
; отображать все ошибки, предупреждения и замечания


Я ставлю строчку "php_value error_reporting 7" в файл .htaccess, а вы? Smile Полный русский перевод Drupal 5.x и еще некоторых модулей.