20 февраля командой безопасности Drupal были выпущены обновления, закрывающие критические уязвимости в ядре Drupal и контрибных модулях.
Если вы используете модули RESTful Web Services, JSON:API, Link, вам нужно немедленно их обновить.
Также необходимо в срочном порядке обновить ядро до версии 8.6.10 или до версии 8.5.11 (если вы по какой-то причине не перешли на ветку 8.6)
Ядро Drupal 7 обновлять не нужно.
Комментарии
Если вам нужна помощь в обновлении, вы можете написать мне в личные сообщения
А кто-нибудь вникал - для уязвимости достаточно того, что модуль RESTful Web Services просто включён, или всё-таки должны быть в явном виде созданы endpoint'ы, позволяющие обновлять контент? У меня он используется чисто как зависимость Views Data Export, никаких endpoint'ов для использования по назначению я не создавал.
И еще вопрос: откуда дровишки про модуль Link (который используют наверное 100% сайтов на D8)? В официальном объявлении про него ни слова.
PS И Link, и RESTful Web Services являются ядерными модулями в D8, так что рекомендация обновить их, а потом еще и ядро несколько некорректна.
Link - это который для D7
https://www.drupal.org/sa-contrib-2019-020
Хочу выразить огромную благодарность Андрею за оперативную профессиональную помощь при обновлениях. Побольше бы таких высококвалифицированных специалистов. А так же рекомендую для дальнейших обращений за профессиональными услугами всем кому нужна недорогая и качественная помощь.
Где то тут на форуме была тема, что views для D7 нужно обновить. Не могу найти. Дайте ссылку плз. Кое что важное надо написать.
Кое-что важное, это о том, что не работает на пятом пыхе?
ну да
https://www.drupal.org/project/views/issues/3039953
Знаю.
Куда дели на форуме тему про обновление views?Точно помню, что была. Или приснилось?
Несколько дней назад действительно проскочил какой-то "фейк-ньюс" о "новых критических обновлениях", но бдительный gun_dose довольно быстро подметил, что ничего критического (и вообще ничего, связанного с безопасностью) в последних обновлениях не было, и тему потихоньку убрали.
Не специалист по безопастнотсити, но в админке 7-ке обновление views числится как красное.
Очень может быть - я просто помню, что был пост про "критические обновления", был коммент gun_dose'а, а потом поста не стало.
Я с семеркой не работаю, поэтому раздел про семерку даже не читал. Может мы вообще про разные посты говорим.
Там даже кто-то написал что-то типа "Нужно обновить views, ядро обновлять не нужно"