Критические обновления Drupal 7 и Drupal 8 (SA-CORE-2019-004)

Главные вкладки

Аватар пользователя drupal.ru drupal.ru 21 марта 2019 в 8:03

20 марта командой безопасности Drupal были выпущены обновления, закрывающие критические уязвимости в ядре Drupal 7 и Drupal 8.

Необходимо в срочном порядке обновить ядро до версии 7.65, а также 8.6.13.

Комментарии

Аватар пользователя void void 21 марта 2019 в 13:21

По-русски будет описание уязвимости? На сколько опасна? Какие сайты подвержены, а какие нет этим уязвимостям? Кому не стоит беспокоится (например одностраничник без регистрации), а кому вот прям бежать-бежать обновляться?

Аватар пользователя marassa marassa 21 марта 2019 в 13:28

Подробного описания и на английском-то толком нет:

Under certain circumstances the File module/subsystem allows a malicious user to upload a file that can trigger a cross-site scripting (XSS) vulnerability.

При определенных обстоятельствах модуль/подсистема File позволяет юзеру-злоумышленнику загрузить файл, который может использовать уязвимость межсайтовых сценариев.

Аватар пользователя ivnish ivnish 21 марта 2019 в 13:38
3

Лучше так, чем как у WP, когда находят уязвимость в модуле с 1000000 установок и столько же сайтов в раз начинают спамить

Аватар пользователя dm66 dm66 22 марта 2019 в 14:54

У меня по крайней мере на одном из сайтов после обновления поломалась друпаловская агрегация js. В 7.64 работало нормально, после обновления на 7.65 пришлось отключить агрегацию JS так как у анонимных пользователей агрегированный JS стал обрабатываться не корректно.