Отдел по безопасности Drupal выложил новые "советы по безопасности"

Аватар пользователя void void 18 января в 23:41

Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001
Date: 2019-January-16
Security risk: Critical 16∕25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:All

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002
Date: 2019-January-16
Security risk: Critical 16∕25 AC:Complex/A:User/CI:All/II:All/E:Proof/TD:Uncommon

Просьба друГуру прокомментировать и/или перевести на русский язык.
Разъяснить риски.

...
Пишут:
Solution:
If you are using Drupal 8.6.x, upgrade to Drupal 8.6.6.
If you are using Drupal 8.5.x or earlier, upgrade to Drupal 8.5.9.
If you are using Drupal 7.x, upgrade to Drupal 7.62.

Хотя тут https://www.drupal.org/project/drupal/releases уже есть drupal 8.6.7 / drupal 8.5.10 / drupal 7.63

0 Thanks

Комментарии

Аватар пользователя Semantics Semantics 19 января в 2:22

давно уже выходит по 2 релиза за раз.
Один фиксит секьюрность, другой - баги и секьюрность

Аватар пользователя gun_dose gun_dose 19 января в 10:17

Интересно описание уязвимости для домохозяек. Я так понял, что суть в том, что как-то можно подкинуть и выполнить вредоносный .phar-файл. Но совсем не ясно, при каких условиях это может произойти.

Аватар пользователя sas@drupal.org sas@drupal.org 19 января в 15:05

Главное обновлять secure быстрее, нет времени особо на заплатках тормозить, есть много интересных функциональных задач.