Описание на английском языке: https://www.drupal.org/sa-core-2018-003
Информация об уязвимости:
Проект: ядро Drupal
Дата: 2018-апрель-18
Риск безопасности: Умеренно критический (12/25)
Описание:
В библиотеке CKEditor, которая включена в ядро Drupal, исправлена уязвимость межсайтового скриптинга (XSS). Уязвимость возникла из-за того, что в CKEditor можно было выполнить XSS при использовании плагина image2, который используется ядром Drupal 8.
Решение:
- Если вы используете Drupal 8, обновитесь до Drupal 8.5.2 или Drupal 8.4.7
- Модуль CKEditor для Drupal7 не затрагивается, если вы используете версию CKEditor 7.x-1.18 или подключаете библиотеку CKEditor из CDN, поскольку в настоящее время D7 использует версию библиотеки CKEditor, в которой нет это уязвимости.
- Если вы установили библиотеку CKEditor в Drupal 7 с помощью другого метода (например, с модулем WYSIWYG или модулем CKEditor с локальным CKEditor и вы используете версию CKEditor с 4.5.11 до 4.9.1, обновите библиотеку, загрузив CKEditor 4.9.2 с сайта CKEditor.
Комментарии
А остальные 2?
SA-CONTRIB-2018-019 (Display Suite - 7.x-2.14 / 7.x-1.9) и SA-CONTRIB-2018-018 (Menu Import and Export - 8.x-1.0)
Ты слишком требовательный к Алексею.
Раньше и этого не было, только ссылка.
А теперь и сопроводительный текст появился.
Спасибка - от меня.
А от здравой критики - еще никто не помирал...
Делиться же надо я не жадный
The website encountered an unexpected error. Please try again later. Обновился)))))))
Сухо:
На этот раз уязвимость в CKEditor, в котором можно произвести XSS-атаку через плагин image2, который также используется в ядре Drupal.
Понятно:
Если у вас есть CKEditor для посетителей, то обновиться стоит как только, так сразу.
Если у вас CKEditor только для редакторов и админов, обновиться тоже нужно, как только будет такая возможность.
Решение:
- Если у вас Drupal 8, обновить до 8.5.2 или 8.4.7.
- Если у вас Drupal 7 и вы используете модуль CKEditor (https://www.drupal.org/project/ckeditor) с подгрузкой редактора через CDN, то ничего делать не стоит.
- Если у вас подключен CKEditor в 7-ке как-то иначе, например через модуль WYSIWYG (https://www.drupal.org/project/wysiwygw), то библиотеку CKEditor надо обновить до версии 4.9.2. Версии 4.5.11 — 4.9.1 уязвимы.
Минутка рекламы:
Обновляем сайты с 2008 года(c)
Обращайтесь за обновами, фиксами безопасности и прочей поддержкой.
Контакты в профиле
А что конкретно может сделать злоумышленник на уязвимом сайте (например. самое страшное из)? Насколько это опасно для самого сайта? Насколько это опасно для посетителей сайта?
В случае данной уязвимости, самое страшное - перехват админской сессии.
При стечении условий, целенаправленно, как это происходит с критикалами, врядли ломать будут.
Спасибо. Так гораздо понятнее уровень опасности и срочность ее устранения.
Моя задача была донести новость выходи и обратить внимание на обновления по безопасности, я её выполнил всем спасибо за добавления и расширения, они конечно ещё никому не помешали. Если иногда я пишу кратко прошу меня простить (3 детей времени не всегда хватает). Прошу не судить меня строго, я уже дедушка пишу медленно и печатаю одним пальцем. Всем спасибо за понимание. Отдельное спасибо Виктору за его время он всегда поддержит поможет расширит и углубит, счастья тебе и здоровья брат!
Вам естественно отдельное Огромное спасибо! Есть просто такие вот как я, которые к сожалению в скудности опыта в этой сфере (в сфере защиты сайтов) не понимают важности и критичности освещаемых уязвимостей. Не хватает в самом начале текста фразы для таких, как я типа "Срочно обновится как можно быстрее" или "Уязвимость не страшная и рвать жопу вотпрямщас не стоит, но желательно бы подтянуть все в лижайшее время".
Ваши пожелания действительно нам важны и мы будем стараться совместными усилиями их реализовывать.