Уязвимости и обновление до 4.7.1 и 4.6.7

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 25 мая 2006 в 8:53

Пришло два сообщения от Drupal Security Team о найденных в Drupal (в т.ч. 4.7.0 и 4.6.6.) уязвимостях, причем обе — highly critical!

Рекомендуют обновиться до Drupal 4.7.1 или 4.6.7 (http://drupal.org/node/65351) или патчить. Вот ссылки на патчи:

You can also patch Drupal. To patch Drupal 4.6.6 to 4.6.7, use this patch:

[http://drupal.org/files/sa-2006-005/4.6.6.patch]

To patch Drupal 4.7.0 to 4.7.1, use this patch:

[http://drupal.org/files/sa-2006-005/4.7.0.patch

Комментарии

Аватар пользователя vadbars@drupal.org vadbars@drupal.org 25 мая 2006 в 13:36

Рекомендуют также разместить в каталоге /files файл .htaccess со строчкой:
SetHandler This_is_a_Drupal_security_line_do_not_remove

Обсуждение этой рекомендации здесь - http://drupal.org/node/65439. Общий смысл - это не позволяет запускать CGI-скрипты из данного каталога.

Аватар пользователя kiev1 kiev1 26 мая 2006 в 22:47

интересно что эта уязвимость чисто теоретическая - эксплоита то нет, да и дефолтовые настройки сайта не позволят что либо заинжектить.