22 марта 2018 в 11:42
3
Этой ночью на орге вышел релиз https://www.drupal.org/psa-2018-001
Критическая уязвимость, уязвимы версии D7, D8.3, D8.4, D8.5.
Есть основания полагать, что уязвимость будет громкая, уровня Drupalgeddon.
Обновляться нужно обязательно!
Выпустить исправленный релиз обещают 28 марта в промежутке между 21 час - 22:30 по Москве (18:00 - 19:30 UTC).
Пока это вся информация, что есть.
Комментарии
Тем временем - орг лежит
Уже подняли
На ftp уже есть: https://ftp.drupal.org/files/projects/drupal-7.58.tar.gz
drush pm-updatestatus не видит обновления пока и в релизах тоже нет
Ядрышки свежие завезли.
Обнова довольно простая, но нужная
Скажите пожалуйста по-русски очень кратко в чем засада и насколько сильно надо бояться?
Пока основное предположение - это есть возможность хитрым запросом (GET, POST, Cookie) заставить выполняться свой код в контексте друпала, скорее всего, через формы и коллбеки к ним - сабмиты, валидаторы, etc.
Естественно, это приводит к получению полного доступа, практически, как открытый пхп-фильтр, если знаешь как.
Вроде звучит страшно. Спасибо за информацию.
Вот по русски http://www.opennet.ru/opennews/art.shtml?num=48348
Скажите, пожалуйста.
В Телеграме еще обсуждали какой-то хитрый патч.
Если обновила сайты на новый 7.58 релиз, - патч нужен?
Или надо обновить:
либо релиз 7.58;
либо патч.
?
Либо релиз, либо патч. Вообще в таких случаях патчи выпускают для тех, кто по каким-то причинам сидит на значительно более старой версии и не может обновиться.
Если кто-то не может самостоятельно обновиться или не знает как: пишите в личку, помогу)
Кто-нибудь обновлял 6-ку на эти релизы https://github.com/d6lts/drupal/releases/
Проблем не возникало?