Вышло обновление безопасности SA-CORE-2018-003 для D8

Главные вкладки

Аватар пользователя sas@drupal.org sas@drupal.org 19 апреля 2018 в 8:19
4

Security update

Описание на английском языке: https://www.drupal.org/sa-core-2018-003

Информация об уязвимости:

Проект: ядро ​​Drupal
Дата: 2018-апрель-18
Риск безопасности: Умеренно критический (12/25)

Описание:

В библиотеке CKEditor, которая включена в ядро ​​Drupal, исправлена уязвимость межсайтового скриптинга (XSS). Уязвимость возникла из-за того, что в CKEditor можно было выполнить XSS при использовании плагина image2, который используется ядром ​​Drupal 8.

Решение:

  • Если вы используете Drupal 8, обновитесь до Drupal 8.5.2 или Drupal 8.4.7
  • Модуль CKEditor для Drupal7 не затрагивается, если вы используете версию CKEditor 7.x-1.18 или подключаете библиотеку CKEditor из CDN, поскольку в настоящее время D7 использует версию библиотеки CKEditor, в которой нет это уязвимости.
  • Если вы установили библиотеку CKEditor в Drupal 7 с помощью другого метода (например, с модулем WYSIWYG или модулем CKEditor с локальным CKEditor и вы используете версию CKEditor с 4.5.11 до 4.9.1, обновите библиотеку, загрузив CKEditor 4.9.2 с сайта CKEditor.

Комментарии

Аватар пользователя Semantics Semantics 19 апреля 2018 в 9:08
1

Ты слишком требовательный к Алексею.
Раньше и этого не было, только ссылка.
А теперь и сопроводительный текст появился.

Аватар пользователя Semantics Semantics 19 апреля 2018 в 13:15
3

Сухо:
На этот раз уязвимость в CKEditor, в котором можно произвести XSS-атаку через плагин image2, который также используется в ядре Drupal.

Понятно:
Если у вас есть CKEditor для посетителей, то обновиться стоит как только, так сразу.
Если у вас CKEditor только для редакторов и админов, обновиться тоже нужно, как только будет такая возможность.

Решение:
- Если у вас Drupal 8, обновить до 8.5.2 или 8.4.7.
- Если у вас Drupal 7 и вы используете модуль CKEditor (https://www.drupal.org/project/ckeditor) с подгрузкой редактора через CDN, то ничего делать не стоит.
- Если у вас подключен CKEditor в 7-ке как-то иначе, например через модуль WYSIWYG (https://www.drupal.org/project/wysiwygw), то библиотеку CKEditor надо обновить до версии 4.9.2. Версии 4.5.11 — 4.9.1 уязвимы.

Минутка рекламы:
Обновляем сайты с 2008 года(c)
Обращайтесь за обновами, фиксами безопасности и прочей поддержкой.
Контакты в профиле

Аватар пользователя void void 19 апреля 2018 в 9:29

А что конкретно может сделать злоумышленник на уязвимом сайте (например. самое страшное из)? Насколько это опасно для самого сайта? Насколько это опасно для посетителей сайта?

Аватар пользователя Semantics Semantics 19 апреля 2018 в 9:32
1

В случае данной уязвимости, самое страшное - перехват админской сессии.
При стечении условий, целенаправленно, как это происходит с критикалами, врядли ломать будут.

Аватар пользователя sas@drupal.org sas@drupal.org 19 апреля 2018 в 9:39
1

Моя задача была донести новость выходи и обратить внимание на обновления по безопасности, я её выполнил всем спасибо за добавления и расширения, они конечно ещё никому не помешали. Если иногда я пишу кратко прошу меня простить (3 детей времени не всегда хватает). Прошу не судить меня строго, я уже дедушка пишу медленно и печатаю одним пальцем. Всем спасибо за понимание. Отдельное спасибо Виктору за его время он всегда поддержит поможет расширит и углубит, счастья тебе и здоровья брат!

Аватар пользователя void void 19 апреля 2018 в 9:53

Вам естественно отдельное Огромное спасибо! Есть просто такие вот как я, которые к сожалению в скудности опыта в этой сфере (в сфере защиты сайтов) не понимают важности и критичности освещаемых уязвимостей. Не хватает в самом начале текста фразы для таких, как я типа "Срочно обновится как можно быстрее" или "Уязвимость не страшная и рвать жопу вотпрямщас не стоит, но желательно бы подтянуть все в лижайшее время".