Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001
Date: 2019-January-16
Security risk: Critical 16∕25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:All
Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002
Date: 2019-January-16
Security risk: Critical 16∕25 AC:Complex/A:User/CI:All/II:All/E:Proof/TD:Uncommon
Просьба друГуру прокомментировать и/или перевести на русский язык.
Разъяснить риски.
...
Пишут:
Solution:
If you are using Drupal 8.6.x, upgrade to Drupal 8.6.6.
If you are using Drupal 8.5.x or earlier, upgrade to Drupal 8.5.9.
If you are using Drupal 7.x, upgrade to Drupal 7.62.
Хотя тут https://www.drupal.org/project/drupal/releases уже есть drupal 8.6.7 / drupal 8.5.10 / drupal 7.63
Комментарии
давно уже выходит по 2 релиза за раз.
Один фиксит секьюрность, другой - баги и секьюрность
Второй релиз исправляет регресс после первого
Интересно описание уязвимости для домохозяек. Я так понял, что суть в том, что как-то можно подкинуть и выполнить вредоносный .phar-файл. Но совсем не ясно, при каких условиях это может произойти.
Главное обновлять secure быстрее, нет времени особо на заплатках тормозить, есть много интересных функциональных задач.