Drupal 6.22 и 7.2

Главные вкладки

Дырке нашли.
Цытато:

-------- DESCRIPTION
---------------------------------------------------------

Multiple vulnerabilities and weaknesses were discovered in Drupal.

.... Reflected cross site scripting vulnerability in error handler

A reflected cross site scripting vulnerability was discovered in Drupal's
error handler. Drupal displays PHP errors in the messages area, and a
specially crafted URL can cause malicious scripts to be injected into the
message. The issue can be mitigated by disabling on-screen error display at
admin/settings/error-reporting. This is the recommended setting for
production sites.

This issue affects Drupal 6.x only.

.... Cross site scripting vulnerability in Color module

When using re-colorable themes, color inputs are not sanitized. Malicious
color values can be used to insert arbitrary CSS and script code. Successful
exploitation requires the "Administer themes" permission.

This issue affects Drupal 6.x and 7.x.

Бодрячком, пацанчики. Бодрячком. Обновляемся. Smile

Комментарии

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 2:36

"Shift-Web" wrote:
Обновляйтесь — не стесняйтесь, это не последний раз (:

не каркай.

"Andruxa" wrote:
простиде чад туд?

чмоке в нашем чате. ага

Даю вольный перевод.
1. Дыра со штуковиной где выводятся сообщения об ошибках. По специально созданному URL можно в это сообщение просунуть неотфильтрованый HTML ну и соответственно JS и тем самым поиметь пользователя.(если удастсо дать ему такой урл. да)
2. Cross site scripting vulnerability in Color module
та же песня но нет чистки ввода вывода при работе модуля color и перекрашиваемых тем. Черей кз значения цвета можно просунуть вредоносный код(ога. админ враг сам себе).
6.x, 7.x

ну и любопытныа могут пойти на d.org и почитать changelog

я 12 часов пишу код сегодня, читаю Шекспира в оригинале доку, и с русским у меня седня просто хуево.(ламир должен с этого неебически радовацо. да.)
пайду спать

Аватар пользователя Shift-Web Shift-Web 26 мая 2011 в 2:43

"Ильич Рамирес Санчес" wrote:
не каркай.

вот ещё ... у меня твиттер есть Smile

"Ильич Рамирес Санчес" wrote:
я 12 часов пишу код сегодня, читаю Шекспира в оригинале доку, и с русским у меня седня просто хуево.(ламир должен с этого неебически радовацо. да.)
пайду спать

Quote:

Стоять, мерзкий раб! Никто не отпускал тебя спать. Ты должен дождаться рассвета и тогда можешь почивать! Дождись обновления, обновись и на сегодня можешь позволить себе 3 часа сна.

-------------
Yours, Drupal

Аватар пользователя fairwind fairwind 26 мая 2011 в 10:02

А у меня вот вопрос возник, по теме. А откуда нынче качают переводы к ядру? Можно уже идти на лдо, или там еще бардак?

Аватар пользователя Pirat Pirat 26 мая 2011 в 11:26

Господа простите за нубский вопрос, а как можно обновить с 7.0 до 7.2? вручную залить файлы для установки на существующий сайт и запустить update.php? и что рекомендуется сделать перед обновлением кроме полного backup'а?

Аватар пользователя Sentrashy@drupal.org Sentrashy@drupal.org 26 мая 2011 в 11:50

"Pirat" wrote:
Господа простите за нубский вопрос, а как можно обновить с 7.0 до 7.2? вручную залить файлы для установки на существующий сайт и запустить update.php? и что рекомендуется сделать перед обновлением кроме полного backup'а?

хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

Аватар пользователя Pirat Pirat 26 мая 2011 в 11:58

"<a href="mailto:Sentrashy@drupal.org">Sentrashy@drupal.org</a>" wrote:
хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

Спасибо попробую, я вот тоже думаю что надо drush освоить, да чего-то никак не соберусь

Аватар пользователя Godgrant Godgrant 26 мая 2011 в 12:26

Ни у кого с HTML-кодами в блоках траблов нет? Обновил до 7.2 и теперь вместо яндексового счетчика получаю его код Smile

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 12:32

"<a href="mailto:Sentrashy@drupal.org">Sentrashy@drupal.org</a>" wrote:
хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

а что делать если у клиента нет ssh?

Аватар пользователя MaNaX MaNaX 26 мая 2011 в 12:38

Гы а у меня никак не обновляет версию. все делаю по инструкции, но при заходе на update.php никакая новая версия не высвечивает и после обновления все равно высвечивает 6.20.

Аватар пользователя Sentrashy@drupal.org Sentrashy@drupal.org 26 мая 2011 в 12:47

"Ильич Рамирес Санчес" wrote:
а что делать если у клиента нет ssh?

не знаю, я пока не вкурил немного про ssh и drush, с 6.19 до 6.20 стремался обновляться Wink Обновлял только модули.

Аватар пользователя Softovick Softovick 26 мая 2011 в 13:00

TeTRos wrote:
7.2 надо устанавливать в ручном режиме

ЧЯДНТ? Набрал на тестовом drush up - без проблем автоматически обновилось...

Аватар пользователя Andruxa Andruxa 22 июня 2011 в 7:28

"run" wrote:
Обновиться или подождать до утра 7.3

аналогичный вопрос про огнелиса - обновить до пятого или подождать до завтра шестой ?