30 июня 2005 в 16:20
Это очередные bugfix релизы.
[b]Внимание![/b] Исправлено 2 ошибки безопасности! Одна связана с системой фильтров, другая -- с XML-RPC библиотекой.
Никаких новых возможностей не добавлено.
Загрузить:
- [url=http://drupal.org/files/projects/drupal-4.6.2.tar.gz]Drupal 4.6.2[/url] [453КБ]
- [url=http://drupal.org/files/projects/drupal-4.5.4.tar.gz]Drupal 4.5.4[/url] [461КБ]
Чтобы исправить ошибки Вы можете: обновить Друпал (1) или применить патчи (2)
[list=1]
[*] Чтобы обновить Друпал, следуйте инструкциям в файле INSTALL.txt и информацию ниже.
[*] Используйте следующие патчи:
[list]
[*]Drupal 4.6.1: [url=http://drupal.org/files/sa-2005-002/filter-4.6.1.patch]filter-4.6.1.patc..., [url=http://drupal.org/files/sa-2005-003/xmlrpc.patch]xmlrpc.patch[/url]
[*]Drupal 4.5.3: [url=http://drupal.org/files/sa-2005-002/filter-4.5.3.patch]filter-4.5.3.patc..., [url=http://drupal.org/files/sa-2005-003/xmlrpc.patch]xmlrpc.patch[/url]
[/list][/list]
Официальные анонсы об ошибках безопастности: [url=http://drupal.org/files/sa-2005-002/advisory.txt]sa-2005-002[/url], [url=http://drupal.org/files/sa-2005-003/advisory.txt]sa-2005-003[/url]
Обновление с Drupal 4.5.x и более ранних версий
Для наиболее беспроблемного перехода, рекомендуется сначала обновится до версии 4.6.1. Также, прочтите [url=http://drupal.org/drupal-4.6.0]Drupal 4.6.0 release announcement[/url] и [url=http://drupal.org/drupal-4.6.1]Drupal 4.6.1 release announcement[/url]. Если Вы обновляетесь с версии 4.6.1 то просто скопируйте все новые файлы в каталог со старой версией, заменяя старые версии файлов. Никаких обнослений API или БД произведено не было, поэтому модули для версии 4.6.0 и 4.6.1 будут работать и с 4.6.2. Перед обновлением не забудте сделать резервную копию вашего сайта.
- [url=http://drupal.org/drupal-4.6.2]Оригинальный текст на drupal.org[/url]
Комментарии
Не очень понял. Чтобы обновить с 4.5.2 до 4.5.4 минуя стандартный апдейт.пхп мне надо поставить эти 2 патча filter-4.5.3.patch, xmlrpc.patch ?
Нет. Этого не достаточно. Т.к. между версиями 4.5.2 и 4.5.4 есть еще 4.5.3
Но, тем не менее, update.php все равно не нужен, т.к. изменений в БД не было.
Просто скопируйте новые файлы поверх старых и все.
На всякий случай, [b]не забывайте про backup[/b]`ы.
[url=node/1047]Подробнее[/url]
--
USU-Lug http://usu-lug.org.ru
Эти патчи кажется не задевают апдейт 4.5.3
Я проапдейтился с ними с 4.5.2 вроде живой.
Не задевают. Но и не производят обновлений, которые есть в 4.5.3
--
USU-Lug http://usu-lug.org.ru
Значит достаточно будет обновить только эти файлы? Другие вроде ни патчи, на обновление до 4.5.3 не затрагивают...
user.module
comment.module
filter.module
node.module
includes/xmlrpc.inc
includes/xmlrpcs.inc
Судя по всему, да.
--
USU-Lug http://usu-lug.org.ru
Обновил таким способом, вроде все ок...
А я не совсем врубился, что значит поставить патчи? Их каким-то макаром запускать надо, разбирать, что там написано, или куда-то положить на сервере?
Если просто нужно заменить старые файлы новыми, то что это за файлы и где они (новые)? У меня версия 4.6.1 (в предыдущем апдейте с 4.6.0 до 4.6.1 прикладывался именно новый файл для апдейта вроде).
Коммандой patch.
patch -p0 < file.patch
Если у Вас win, то обратитесь в [url=faq]FAQ[/url].
Исправьте ссылочку на главной странице, которая "скачать текущую версию"?
fixed.
Спасибо.
--
USU-Lug http://usu-lug.org.ru
Сайты на 4.5* и 4.6* я обновил, а вот про сайт на версии 4.3 (debian.lrn.ru) как-то забыл, тем более патчей к этой версии уже не выходит. Вот и дождался санитаров интернета - сайту сделали лёгкий дефейс, заменили индексную страницу. Это первый дефейснутый сайт на Drupal, который я видел (по иронии судьбы оказался одним из моих сайтов
Полагаю была использована была уязвимость XML-RPC, которой подвержены все версии движка.
[b] Настоятельно рекомендую, если нет возможности установить патч для XML-RPC, то отключить все модули которые используют его и удалить файлы относящиеся к XML-RPC: /xmlrpc.php, /includes/xmlrpc*.inc
[/b]
Отмечу, что на drupal.ru RPC-модули включены и работают
Crackers are welcome.
--
Axel,
www.axel.drupal.ru
Хех...
Даже не знаю что и сказать...
Вообщем, если нужна помощь в апдейте -- обращайся
(в im что-то последнее время тебе не сильно видно...)
у меня тут некоторые проблемы личного характера, заморочился немного. за помощь в апдейте спасибо, давай я тебе логины от сайта пришлю
--
Axel,
www.axel.drupal.ru
Понятно ..
Присылай, на e-mail, который в профиле. Или ЛС. Не важно, собственно, получу как-нибудь... Я правильно понимаю, что там специфичная тема и ее надо поправить до 4.6 ... ?