Objavljeno je novo ažuriranje za kritičnu rupu u Drupalu 7 i 8
Posted: Sun Dec 15, 2024 3:50 am
“ Ne sjećam se da se ovako nešto ikada dogodilo. Iz ovoga, čak i osoba koja ne razumije web stranice može steći ideju o važnosti ažuriranja," kaže Josef Grega, moj kolega stariji Drupal programer.
Hakiranje na koje zakrpa reagira dobilo je podaci o broju whatsappa ocjenu ozbiljnosti 21/25. Pročitajte više o haku u objavi Drupal sigurnosnog tima .
Što ažuriranje rješava?
Zakrpa je namijenjena za D7 i D8 (postoji rizik i za D6, gdje ga također treba riješiti) i "krpa" kritični sigurnosni problem u sustavu. Za dublji uvid možete provjeriti ovdje . Sadržaj zakrpe tretira sve korisničke metode unosa (kao što su GET, POST, REQUEST ili COOKIE) na web stranicama.
" Kako biste provjerili je li web mjesto napadnuto, preporučujem provjeru novih administratorskih računa ", savjetuje Josef Grega svim vlasnicima Drupal web mjesta.
U ažuriranju možete primijetiti da će čak i malo programskog koda učiniti puno posla. Dodana je jedna funkcija za uklanjanje parametara koji počinju s hashom (#), s tim da se u sustavu može definirati bijela lista dopuštenih parametara kojima će sustav dopustiti prolaz.
Ostali parametri koji odgovaraju sigurnosnom riziku se uklanjaju. Zakrpa se umeće izravno u bootstrap, tako da je bez nje sustav općenito moguće napasti čak iu načinu održavanja.
Hakiranje na koje zakrpa reagira dobilo je podaci o broju whatsappa ocjenu ozbiljnosti 21/25. Pročitajte više o haku u objavi Drupal sigurnosnog tima .
Što ažuriranje rješava?
Zakrpa je namijenjena za D7 i D8 (postoji rizik i za D6, gdje ga također treba riješiti) i "krpa" kritični sigurnosni problem u sustavu. Za dublji uvid možete provjeriti ovdje . Sadržaj zakrpe tretira sve korisničke metode unosa (kao što su GET, POST, REQUEST ili COOKIE) na web stranicama.
" Kako biste provjerili je li web mjesto napadnuto, preporučujem provjeru novih administratorskih računa ", savjetuje Josef Grega svim vlasnicima Drupal web mjesta.
U ažuriranju možete primijetiti da će čak i malo programskog koda učiniti puno posla. Dodana je jedna funkcija za uklanjanje parametara koji počinju s hashom (#), s tim da se u sustavu može definirati bijela lista dopuštenih parametara kojima će sustav dopustiti prolaz.
Ostali parametri koji odgovaraju sigurnosnom riziku se uklanjaju. Zakrpa se umeće izravno u bootstrap, tako da je bez nje sustav općenito moguće napasti čak iu načinu održavanja.