Критические обновления Drupal 7 и Drupal 8 (SA-CORE-2019-004)

Аватар пользователя drupal.ru drupal.ru 21 марта в 8:03

20 марта командой безопасности Drupal были выпущены обновления, закрывающие критические уязвимости в ядре Drupal 7 и Drupal 8.

Необходимо в срочном порядке обновить ядро до версии 7.65, а также 8.6.13.

0 Thanks

Комментарии

Аватар пользователя void void 21 марта в 13:21

По-русски будет описание уязвимости? На сколько опасна? Какие сайты подвержены, а какие нет этим уязвимостям? Кому не стоит беспокоится (например одностраничник без регистрации), а кому вот прям бежать-бежать обновляться?

Аватар пользователя marassa marassa 21 марта в 13:28

Подробного описания и на английском-то толком нет:

Under certain circumstances the File module/subsystem allows a malicious user to upload a file that can trigger a cross-site scripting (XSS) vulnerability.

При определенных обстоятельствах модуль/подсистема File позволяет юзеру-злоумышленнику загрузить файл, который может использовать уязвимость межсайтовых сценариев.

Аватар пользователя Semantics Semantics 21 марта в 13:37
2

13 из 25 риск.
это значит, что мало кто встретится с этими условиями.
параноидальность друпала она такая

Аватар пользователя ivnish ivnish 21 марта в 13:38
3

Лучше так, чем как у WP, когда находят уязвимость в модуле с 1000000 установок и столько же сайтов в раз начинают спамить

Аватар пользователя dm66 dm66 22 марта в 14:54

У меня по крайней мере на одном из сайтов после обновления поломалась друпаловская агрегация js. В 7.64 работало нормально, после обновления на 7.65 пришлось отключить агрегацию JS так как у анонимных пользователей агрегированный JS стал обрабатываться не корректно.