Новости drupal.ru

Расправь свои плечи!

Я - это я, а ты - это ты. Если нам удалось встретиться - это великолепно, если нет - этому нельзя помочь (Гештальт-молитва, Ф. Перлз).

Мой путь - не такой, как у тебя, а твой путь - не такой, как мой. Каждый из нас идёт по жизни своими тигриными тропами. Но иногда возникает желание поделиться описанием своих тропинок. А иногда - прочитать про пути соседей. Здесь - можно сделать и то и другое. Есть желание присоединиться?

Много разных возможностей заниматься йогой в Омске и на этом сайте Вы можете выбрать йогу для себя.
Узнать больше, где и с кем можно заниматься йогой в Омске

Что делать, если хочется что-либо полезное сделать, но денег на это непонятно где взять?
А ведь можно взять грант!

Вход для пользователей

Как мотивировать себя что-то делать?

Подсказка от Артемия Лебедева

Drupal (Друпал) — голландское "druppel" («капля») в английском произношении. Drupal — платформа для создания сайтов и управления ими (CMF). Посредством данной системы можно строить сайты различного назначения и сложности, для управления созданным на Drupal сайтом не требуется владение вебвёрсткой и знание программирования. Drupal создан международной командой разработчиков, как программное обеспечение с открытыми исходными текстами, защищенными общественной лицензией GNU. Международный сайт проекта — drupal.org, а наш сайт предназначен для общения и координации работ русскоговорящих участников проекта. Сообщества проекта Drupal доступны также на других языках.

Адрес: https://drupal.ru

Обновлено: 11 минут 41 секунда назад

Вышла пачка критических уязвимостей ядра Drupal разных версий

Чт, 21/11/2024 - 15:53

Сегодня меня почта порадовала пачкой сообщений в рассылке "Security News" от команды по безопасности Друпала.

Вот что имеем на данный момент

Drupal core - Critical - Cross Site Scripting - SA-CORE-2024-005

Риск: Critical 17 ∕ 25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: Drupal 7

В Drupal 7 модуль Overlay небезопасно работает с пользовательским вводом, что может привести к межсайтовому скриптингу при определенных обстоятельствах.

Выхода два

Обновиться до Drupal 7.102
Отключить модуль Overlay

Это самая большая угроза. Остальные поменьше

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2024-003

Риск: Moderately critical 13 ∕ 25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: >= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

Drupal использует JavaScript для рендеринга статусных сообщений в некоторых случаях и конфигурациях. При определенных обстоятельствах статусные сообщения не проходят соответствующую очистку, что может привести к межсайтовому скриптингу.

Лечение

Drupal 10.2, обновить до Drupal 10.2.11.
Drupal 10.3, обновить до Drupal 10.3.9.
Drupal 11.0, обновить до Drupal 11.0.8.

Drupal core - Moderately critical - Gadget chain - SA-CORE-2024-008

Риск: Moderately critical 14 ∕ 25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
Затрагивает: >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9

Ядро Drupal содержит потенциальную уязвимость PDO, которая при сочетании с другим эксплойтом может привести к удаленному выполнению кода. На прямую эту уязвимость использовать нельзя.

Затрудняет использование этой уязвимости то, что должна присутствовать другая уязвимость, позволяющая передавать опасный инпут в unserialize(). Такие эксплойты для ядра Друпал неизвестны.

Лечение

Drupal 7, обновить до Drupal 7.102.
Drupal 10.2, обновить до Drupal 10.2.11.
Drupal 10.3, обновить до Drupal 10.3.9.

Еще две уязвимость про тоже самое.

https://www.drupal.org/sa-core-2024-007

https://www.drupal.org/sa-core-2024-006

Последняя может приводить к удалению файлов.

Новости из мира Drupal

Категорий: Сайтостроение