Bol vydaný Drupal 8.2.7 - obsahuje opravy bezp. rizík

Včera bol vydaný Drupal v8.2.7, ktorý neobsahuje žiadne nové vlastnosti a funkcie, ale opravy potenciálnych bezpečnostných rizík:

  • Editor module incorrectly checks access to inline private files - Drupal 8 - Access Bypass - Critical - CVE-2017-6377
  • Some admin paths were not protected with a CSRF token - Drupal 8 - Cross Site Request Forgery - Moderately Critical - CVE-2017-6379
  • Remote code execution - Drupal 8 - Remote code execution - Moderately Critical - CVE-2017-6381

Preto je silne odporúčaný ugprade zo stávajúcich inštalácii verzií 8.2.x.

Keďže v novom release je zrušená závislosť od PHP knižníc označených ako vývojové, je nutné pred aktualizáciou zmazať všetky D8 súbory (nestačí len prepísať jestvujúcu verziu)! Postup aktualizácie nájdete aj tu.

1 Like

Na tw som zaregistroval nejake postupy na presun core mimo docrootu, skusali ste to niekto?

Mno, to je podla mňa najzákladnejšia ochrana proti hacknutiu webu. Pri doteraz používanej e107 to šlo jednoducho a očividne mi to pomohlo (na základe výpisu z LOGov o pokusoch o prístupy).

Pri D8 som sa zatiaľ až tak ďaleko nedostal (zatiaľ bojujem s konfiguráciou view a content types), ale určite to budem lámať.
Osobne si myslím, že adresáre core, library, vendor a pod, by mali byť povinne premenované užívateľom.