Вышло обновление безопасности SA-CORE-2018-003 для D8

Аватар пользователя sas@drupal.org
4

Security update

Описание на английском языке: https://www.drupal.org/sa-core-2018-003

Информация об уязвимости:

Проект: ядро ​​Drupal
Дата: 2018-апрель-18
Риск безопасности: Умеренно критический (12/25)

Описание:

В библиотеке CKEditor, которая включена в ядро ​​Drupal, исправлена уязвимость межсайтового скриптинга (XSS). Уязвимость возникла из-за того, что в CKEditor можно было выполнить XSS при использовании плагина image2, который используется ядром ​​Drupal 8.

Решение:

  • Если вы используете Drupal 8, обновитесь до Drupal 8.5.2 или Drupal 8.4.7
  • Модуль CKEditor для Drupal7 не затрагивается, если вы используете версию CKEditor 7.x-1.18 или подключаете библиотеку CKEditor из CDN, поскольку в настоящее время D7 использует версию библиотеки CKEditor, в которой нет это уязвимости.
  • Если вы установили библиотеку CKEditor в Drupal 7 с помощью другого метода (например, с модулем WYSIWYG или модулем CKEditor с локальным CKEditor и вы используете версию CKEditor с 4.5.11 до 4.9.1, обновите библиотеку, загрузив CKEditor 4.9.2 с сайта CKEditor.
Модули и темы:
Ключевые слова:
Тип материала:
Версия Drupal:

Комментарии

Аватар пользователя Semantics
Semantics 1 месяц назад
1

Ты слишком требовательный к Алексею.
Раньше и этого не было, только ссылка.
А теперь и сопроводительный текст появился.

Аватар пользователя bumble
bumble 1 месяц назад
1

Спасибка - от меня.
А от здравой критики - еще никто не помирал...

Аватар пользователя sas@drupal.org
sas@drupal.org 1 месяц назад

Делиться же надо :) я не жадный

Аватар пользователя loup54
loup54 1 месяц назад

The website encountered an unexpected error. Please try again later. Обновился)))))))

Аватар пользователя Semantics
Semantics 1 месяц назад
3

Сухо:
На этот раз уязвимость в CKEditor, в котором можно произвести XSS-атаку через плагин image2, который также используется в ядре Drupal.

Понятно:
Если у вас есть CKEditor для посетителей, то обновиться стоит как только, так сразу.
Если у вас CKEditor только для редакторов и админов, обновиться тоже нужно, как только будет такая возможность.

Решение:
- Если у вас Drupal 8, обновить до 8.5.2 или 8.4.7.
- Если у вас Drupal 7 и вы используете модуль CKEditor (https://www.drupal.org/project/ckeditor) с подгрузкой редактора через CDN, то ничего делать не стоит.
- Если у вас подключен CKEditor в 7-ке как-то иначе, например через модуль WYSIWYG (https://www.drupal.org/project/wysiwygw), то библиотеку CKEditor надо обновить до версии 4.9.2. Версии 4.5.11 — 4.9.1 уязвимы.

Минутка рекламы:
Обновляем сайты с 2008 года(c)
Обращайтесь за обновами, фиксами безопасности и прочей поддержкой.
Контакты в профиле

Аватар пользователя void
void 1 месяц назад

А что конкретно может сделать злоумышленник на уязвимом сайте (например. самое страшное из)? Насколько это опасно для самого сайта? Насколько это опасно для посетителей сайта?

Аватар пользователя Semantics
Semantics 1 месяц назад
1

В случае данной уязвимости, самое страшное - перехват админской сессии.
При стечении условий, целенаправленно, как это происходит с критикалами, врядли ломать будут.

Аватар пользователя void
void 1 месяц назад

Спасибо. Так гораздо понятнее уровень опасности и срочность ее устранения.

Аватар пользователя sas@drupal.org
sas@drupal.org 1 месяц назад
1

Моя задача была донести новость выходи и обратить внимание на обновления по безопасности, я её выполнил всем спасибо за добавления и расширения, они конечно ещё никому не помешали. Если иногда я пишу кратко прошу меня простить (3 детей времени не всегда хватает). Прошу не судить меня строго, я уже дедушка пишу медленно и печатаю одним пальцем. Всем спасибо за понимание. Отдельное спасибо Виктору за его время он всегда поддержит поможет расширит и углубит, счастья тебе и здоровья брат!

Аватар пользователя void
void 1 месяц назад

Вам естественно отдельное Огромное спасибо! Есть просто такие вот как я, которые к сожалению в скудности опыта в этой сфере (в сфере защиты сайтов) не понимают важности и критичности освещаемых уязвимостей. Не хватает в самом начале текста фразы для таких, как я типа "Срочно обновится как можно быстрее" или "Уязвимость не страшная и рвать жопу вотпрямщас не стоит, но желательно бы подтянуть все в лижайшее время".

Аватар пользователя sas@drupal.org
sas@drupal.org 1 месяц назад
1

Ваши пожелания действительно нам важны и мы будем стараться совместными усилиями их реализовывать.