Вышли Drupal 5.13 и 6.7, а также откат патча безопасности 5.14 и 6.8!!!

Аватар пользователя VladSavitsky VladSavitsky 11 декабря 2008 в 3:49

Если версия PHP>5.2, то нет смысла обновлять до 6.8, потому что это откат патча безопасности, который был выпущен в 6.7. (См. http://drupal.ru/node/22596)

Security Team уже все знает!Оригинал: SA-2008-073 - Drupal core - Multiple vulnerabilities

Описание

Множественные уязвимости и слабые места были найдены в Drupal.

Подделывание запросов на другие сайты (Cross site request forgery)

Система обновлений содержит уязвимость к подделыванию запросов на другие сайты.
Злонамеренные пользователи могут использовать суперпользователя (user 1) для выполнения старых обновлений, которые приводят к разрушению базы данных.

Cross site scripting

Когда формат ввода удален, не весь существующий контент на сайте обновлен, чтобы отобразить это удаление. Подобный контент отображеется без фильтрации. Это может привести к атакам cross site scripting, когда вредные теги больше не исключатся из "злонамеренного" контента, который был размещен ранее.

Затронутые версии

  • Drupal 5.x версии ниже 5.13
  • Drupal 6.x версии ниже 6.7

Решение

Установить последнюю версию:

Обратите внимание: файлы robots.txt и .htaccess были изменены и должны быть замещены.

Файл settings.php НЕ был изменен и может быть оставлен как есть, если обновляется текущая версия Drupal.

Если вы не можете обновиться немедленно, вы можете применить патч для того, чтобы обезопасить свою установку, пока вы не сможете сделать полное обновление. Патчи исправляют уязвимости, но не содержат изменений, которые есть в этих версиях

Сообщил

Обе уязвимости обраружил David Rothstein (David_Rothstein).

0 Thanks

Комментарии

Аватар пользователя dbzer0 dbzer0 11 декабря 2008 в 5:34

То есть, как я понимаю, обновления базы не происходит с перехода с 6.6 на 6.7, то есть update.php запускать не требуется?

Аватар пользователя orb orb 11 декабря 2008 в 16:20

при обновлении до 6.7 не хочет работать XML Sitemap 6.x-1.x-dev (2008-Дек-09)

нельзя сделать update.php, пишет что этот модуль уже отослал заголовок

Аватар пользователя VladSavitsky VladSavitsky 10 ноября 2015 в 11:45

В .htaccess поменялась только одна строка - остальное комментарии.

Найти:

<FilesMatch "\.(engine|inc|info|install|module|profile|po|sh|.*sql|theme|tpl(\.php)?|xtmpl)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template)$">

Заменить на:

<FilesMatch "\.(engine|inc|info|install|module|profile|test|po|sh|.*sql|theme|tpl(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">

Патч прилагаю.

Аватар пользователя VladSavitsky VladSavitsky 11 декабря 2008 в 17:13

XML Sitemap 6.x-1.x-dev (2008-Дек-09) глючный.
Таже беда
Предыдущая версия работает. Кажется от 6 декабря.

Аватар пользователя andyceo andyceo 11 декабря 2008 в 18:30

Друзья, насчёт XML Sitemap 6.x-1.x-dev (2008-Дек-09) вас разве честно не предупреждали?

This is the porting of code from 5.x-2.x-dev; it also fixes some issues present in 6.x-0.x-dev.
It's not ready for production uses.

http://drupal.org/node/335174

Рабочая ветка этого модуля XML Sitemap 6.x-0.x-dev. Я тоже ставил единицу, тоже у меня не пахала. юзайте ноль, пока что.

Аватар пользователя EllECTRONC EllECTRONC 11 декабря 2008 в 21:44
"Zga" wrote:

они их пекут, как пироги...

скорее блинчики, пироги дольше... )))
Я только успела загрузить 5.13 и 6.7, а они еще раз обновили.

Аватар пользователя andyceo andyceo 11 декабря 2008 в 22:13

Влад, поменяй заголовок, пропиши в нём свежие версии! Неохота новую тему забубенивать, каждый раз как у них там версия выходит)

2 andypost

Андрей, а в 6.8 всосался твой патч с комментариями, или нет?

Аватар пользователя ingumsky@drupal.org ingumsky@drupal.org 12 декабря 2008 в 16:11
"<a href="mailto:andypost@drupal.org">andypost@drupal.org</a>" wrote:

в 6.8 нет патча, я вообще не рекомендую откатываться на 6.8 если версия php >= 5.2

М-м-м, то есть, если я уже вчера обновился до 6.7, можно дальше не обновляться? Версия php у меня 5.2.0-8+etch13 (сервер, как видно на дебиан ;)

И ещё, скажите, пожалуйста, если я сейчас не обновляюсь на 6.8, потом перескочить сразу с 6.7 на 6.9 можно будет или надо будет сначала проапдейтиться до 6.8?

Аватар пользователя EllECTRONC EllECTRONC 14 декабря 2008 в 22:41
"<a href="mailto:ingumsky@drupal.org">ingumsky@drupal.org</a>" wrote:

И ещё, скажите, пожалуйста, если я сейчас не обновляюсь на 6.8, потом перескочить сразу с 6.7 на 6.9 можно будет или надо будет сначала проапдейтиться до 6.8?

Без проблем!