Обновляемся до 5.10 и 6.4

Аватар пользователя VladSavitsky VladSavitsky 14 августа 2008 в 10:49

Собираемся с духом и обновляемся до 5.10 и 6.4!

  • Номер сообщения об уязвимости: DRUPAL-SA-2008-047
  • Проект: ядро Друпал
  • Версии: 5.x, 6.x
  • Дата: 13 июля 2008
  • Риск безопасности: Очень опасно
  • Тип уязвимости: удалённая
  • Уязвимости: множественные уязвимости

Описание

Множественные уязвимости обнаружены в Друпал.

CROSS SITE SCRIPTING

A bug in the output filter employed by Drupal makes it possible for malicious
users to insert script code into pages (cross site scripting [
http://en.wikipedia.org/wiki/Cross-site_scripting ] or XSS).

A bug in the private filesystem trusts the MIME type sent by the browser,
enabling malicious users with the ability to upload files to execute cross site
scripting attacks.

These bugs affects both Drupal 5.x and 6.x.

ARBITRARY FILE UPLOADS VIA BLOGAPI

The BlogAPI module does not validate the extension of uploaded files, enabling
users with the "administer content with blog api" permission to upload harmful
files.

This bug affects both Drupal 5.x and 6.x.

CROSS SITE REQUEST FORGERIES

Drupal forms contain a token to protect against cross site request forgeries [
http://en.wikipedia.org/wiki/Cross-site_request_forgery ] (CSRF). The token may
not be validated properly for cached forms and forms containing AHAH elements.

This bug affects Drupal 6.x.

User access rules can be added or deleted upon accessing a properly formatted
URL, making such modifications vulnerable to cross site request forgeries
(CSRF). This may lead to unintended addition or deletion of an access rule when
a sufficiently privileged user visits a page or site created by a malicious
person.

This bug affects both Drupal 5.x and 6.x.

VARIOUS UPLOAD MODULE VULNERABILITIES

The Upload module in Drupal 6 contains privilege escalation vulnerabilities for
users with the "upload files" permission. This can lead to users being able to
edit nodes which they are normally not allowed to, delete any file to which the
webserver has sufficient rights, and download attachments of nodes to which they
have no access. Harmful files may also be uploaded via cross site request
forgeries (CSRF).

These bugs affect Drupal 6.x.

Уязвимые версии

  • Drupal 5.x ниже 5.10
  • Drupal 6.x ниже 6.4

Решение

Установите последнюю версию:Install the latest version:

Если вы не можете обновиться немедленно, вы можете применить патч, чтобы защитить вашу установку Друпал, пока вы не сделаете полноценное обновление. Патчи исправляют уязвимости безопасности, но не содержат некоторые исправления, которые есть в новых версиях.

Комментарии

Аватар пользователя olk olk 14 августа 2008 в 11:08

Надо просто одну из тем про 6.4,5.10, закрепить сверху трэкера и вынести на главную Smile

Аватар пользователя VladSavitsky VladSavitsky 14 августа 2008 в 11:21

То, что дублей много - хорошо.
Значит все стоят на страже безопасности своих сайтов и следят за обновлениями.
Поздравляю за отличную реакцию.
Теперь можно идти и спосойно обновлять все свои сайты...

Аватар пользователя Nikit Nikit 14 августа 2008 в 11:23

да не в реакции Влад, у меня просто временной интервал впереди на четверть суток Smile

Аватар пользователя Tankha Tankha 14 августа 2008 в 11:54

Интересно было бы знать что НЕ НУЖНО обновлять.
Я так понимаю темы например обновлять не нужно?

Аватар пользователя T-34 T-34 14 августа 2008 в 13:35

До 5.8 и 5.9 никак руки не доходили обновить, а теперь сразу до 5.10 обновился) все кроме .htaccess, robots.txt и settings.php - надеюсь, в них изменений нет?

Аватар пользователя ingolmo ingolmo 14 августа 2008 в 14:36

Да, что-то зачастили. Только недавно до 5.9 обновлялись. Хотя с одной стороны может и хорошо, что так быстро закрываются уязвимости, а с другой такая частота заставляет всё время беспоится об обновлениях Smile

Аватар пользователя SamDark SamDark 14 августа 2008 в 15:55

Для шестёрки зафиксили описочки из за которых она притормаживала. Радует… будем пробовать.

Аватар пользователя Resistant Resistant 14 августа 2008 в 16:33

Перезаливать полностью дистрибутив, или достаточно заменить некоторые файлы?

Аватар пользователя mkudrin mkudrin 14 августа 2008 в 16:39

Обновил свой www.mobyart.ru с 5.7 до 5.10

Шаблон тоже обновился, который я переделал по себя Lol В итоге нужно опять переделывать. Файлы заменились.

Будьте внимательны при обновлении!

Аватар пользователя Nikit Nikit 15 августа 2008 в 3:01

mkudrin стоило просто скопировать стандартную темку на sites/all/themes и не было бы никаких проблем.

Аватар пользователя lastormo lastormo 17 августа 2008 в 11:26

Ошибка в "Если вы не можете обноситься немедленно"
Спасибо, пошел обновляться Smile

Аватар пользователя seaji seaji 14 сентября 2008 в 1:43

А вот и ложка дегтя.
После обновления 5.8/5.9/5.10 перестал работать стандартный кеш страниц для анонимов.
http://drupal.ru/node/18873
Русское сообщество молчит. Никому кеш не нужен, что ли?
http://drupal.org/node/302784
Англо-язычное сообщество молчит, так же.

В связи, с тем, что кеш мне нужен как воздух, я начал писать свою схему кеширования.
Опубликую в блоге.
Предварительная информация:
кешируются как ноды, так и списки.
кеширование распределено между ролями. Для каждой роли свой кеш.
кеш никогда не сбрасывается, кроме случаев обновления/удаления
сброс происходит не для всего кеша, а только для данной страницы.
кешируются алиасы путей на сайте, выигрыш от 10 до 30 запросов в базу, в зависимости от количества ссылок на странице.

По замерам на локальном хосте такие данные:
Для списков материалов, для анонима:

  • без кеша - 186 запросов к базе - использование памяти 2.5 Мб
  • с кешем - 27 запросов к базе - использование памяти 1.6 Мб