26 мая 2011 в 1:16
Дырке нашли.
Цытато:
-------- DESCRIPTION
---------------------------------------------------------
Multiple vulnerabilities and weaknesses were discovered in Drupal.
.... Reflected cross site scripting vulnerability in error handler
A reflected cross site scripting vulnerability was discovered in Drupal's
error handler. Drupal displays PHP errors in the messages area, and a
specially crafted URL can cause malicious scripts to be injected into the
message. The issue can be mitigated by disabling on-screen error display at
admin/settings/error-reporting. This is the recommended setting for
production sites.
This issue affects Drupal 6.x only.
.... Cross site scripting vulnerability in Color module
When using re-colorable themes, color inputs are not sanitized. Malicious
color values can be used to insert arbitrary CSS and script code. Successful
exploitation requires the "Administer themes" permission.
This issue affects Drupal 6.x and 7.x.
Бодрячком, пацанчики. Бодрячком. Обновляемся. 
Комментарии
Уже 7.2 вышла.
ага
http://drupal.org/node/3060/release
пацаны решили побить рекорд по числу минорных версий за ночь? да?
Обновиться или подождать до утра 7.3?
хз. я brainstormblogger обновляю раньше времени. накопилось там...
да. я седня таки выиграл в специальна алимпеаде первонахов
Такое случалось уже. Года полтора назад.
Почему не на глагнэ?
Хе-хе ))) Я всё таки подожду пока )))
патамушта не а праблемах саобщества.
да вроде ничо не сломалось
Обновляйтесь — не стесняйтесь, это не последний раз (:
простиде чад туд?
пачитаю
(Хочеццо заслушать Онотоле с докладом о фиксах в v.8)
не каркай.
чмоке в нашем чате. ага
Даю вольный перевод.
1. Дыра со штуковиной где выводятся сообщения об ошибках. По специально созданному URL можно в это сообщение просунуть неотфильтрованый HTML ну и соответственно JS и тем самым поиметь пользователя.(если удастсо дать ему такой урл. да)
2. Cross site scripting vulnerability in Color module
та же песня но нет чистки ввода вывода при работе модуля color и перекрашиваемых тем. Черей кз значения цвета можно просунуть вредоносный код(ога. админ враг сам себе).
6.x, 7.x
ну и любопытныа могут пойти на d.org и почитать changelog
я 12 часов пишу код сегодня, читаю
Шекспира в оригиналедоку, и с русским у меня седня просто хуево.(ламир должен с этого неебически радовацо. да.)пайду спать
Онотоле патчит KDE под FreeBSD.
вот ещё ... у меня твиттер есть
лишь бы не моск тп асуса
А у меня вот вопрос возник, по теме. А откуда нынче качают переводы к ядру? Можно уже идти на лдо, или там еще бардак?
Ура, товарищи
правда я знал еще вечером вчера
Господа простите за нубский вопрос, а как можно обновить с 7.0 до 7.2? вручную залить файлы для установки на существующий сайт и запустить update.php? и что рекомендуется сделать перед обновлением кроме полного backup'а?
хз, я научился писать команду drush up. Больше ни одного телодвижения
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.
Спасибо попробую, я вот тоже думаю что надо drush освоить, да чего-то никак не соберусь
Ни у кого с HTML-кодами в блоках траблов нет? Обновил до 7.2 и теперь вместо яндексового счетчика получаю его код
а что делать если у клиента нет ssh?
Гы а у меня никак не обновляет версию. все делаю по инструкции, но при заходе на update.php никакая новая версия не высвечивает и после обновления все равно высвечивает 6.20.
не знаю, я пока не вкурил немного про ssh и drush, с 6.19 до 6.20 стремался обновляться
Обновлял только модули.
что то смысла 6-ку обновлять не вижу, color'ом никогда не пользовался. а 7-ку обновлю)
7.2 надо устанавливать в ручном режиме
ЧЯДНТ? Набрал на тестовом drush up - без проблем автоматически обновилось...
Ну drush я не юзаю, но вручную все обновилось без проблем
аналогичный вопрос про огнелиса - обновить до пятого или подождать до завтра шестой ?