Bol vydaný Drupal 8.2.7 - obsahuje opravy bezp. rizík


#1

Včera bol vydaný Drupal v8.2.7, ktorý neobsahuje žiadne nové vlastnosti a funkcie, ale opravy potenciálnych bezpečnostných rizík:

  • Editor module incorrectly checks access to inline private files - Drupal 8 - Access Bypass - Critical - CVE-2017-6377
  • Some admin paths were not protected with a CSRF token - Drupal 8 - Cross Site Request Forgery - Moderately Critical - CVE-2017-6379
  • Remote code execution - Drupal 8 - Remote code execution - Moderately Critical - CVE-2017-6381

Preto je silne odporúčaný ugprade zo stávajúcich inštalácii verzií 8.2.x.

Keďže v novom release je zrušená závislosť od PHP knižníc označených ako vývojové, je nutné pred aktualizáciou zmazať všetky D8 súbory (nestačí len prepísať jestvujúcu verziu)! Postup aktualizácie nájdete aj tu.


#2

Na tw som zaregistroval nejake postupy na presun core mimo docrootu, skusali ste to niekto?


#3

Mno, to je podla mňa najzákladnejšia ochrana proti hacknutiu webu. Pri doteraz používanej e107 to šlo jednoducho a očividne mi to pomohlo (na základe výpisu z LOGov o pokusoch o prístupy).

Pri D8 som sa zatiaľ až tak ďaleko nedostal (zatiaľ bojujem s konfiguráciou view a content types), ale určite to budem lámať.
Osobne si myslím, že adresáre core, library, vendor a pod, by mali byť povinne premenované užívateľom.