- 27,414
- 46
- 8 Ноя 2022
Сегодня у админов внеплановый рабочий день.
Разработчики Drupal предупредили , что готовятся экстренно выпустить обновление безопасности для всех поддерживаемых веток системы управления сайтами. Патчи выйдут 20 мая в промежутке с 17:00 до 21:00 по UTC, а уязвимость уже получила статус «крайне критической».
Команда безопасности Drupal призвала администраторов заранее выделить время, чтобы установить обновления. По словам разработчиков, после того как опубликуют исправления, злоумышленники смогут создать рабочие эксплойты всего за несколько часов или дней. Проблема затрагивает не все конфигурации сайтов, однако разработчики советуют проверить ресурсы сразу после выхода обновлений. Информация о том, как снизить риск, появится вместе с бюллетенем безопасности.
Исправления подготовят для всех поддерживаемых веток Drupal Core, включая версии 11.3.x, 11.2.x, 10.6.x и 10.5.x. Владельцам сайтов порекомендовали заранее обновиться до последних доступных исправлений внутри своих веток, чтобы избежать дополнительных проблем, когда придётся устанавливать срочный патч.
Из-за серьёзности уязвимости команда Drupal также выпустит обновления для устаревших веток 11.1.x и 10.4.x, хотя обычно поддержка таких версий уже прекращается. Владельцам сайтов на Drupal 11.0 и 11.1 посоветовали обновиться минимум до версии 11.1.9. Для веток Drupal 10.0–10.4 рекомендован переход как минимум на Drupal 10.4.9.
Для полностью неподдерживаемых Drupal 8 и Drupal 9 готовых обновлений не будет. Вместо них разработчики опубликуют отдельные файлы исправлений для Drupal 8.9 и 9.5. Такие патчи придётся устанавливать вручную, причём команда проекта предупредила, что исправления могут работать нестабильно и вызывать новые ошибки.
Разработчики также напомнили, что Drupal 8 и 9 содержат множество других известных уязвимостей , которые больше не исправляются. Владельцам таких сайтов рекомендовали как можно быстрее перейти хотя бы на Drupal 10.6. Drupal 7, по данным команды проекта, уязвимости не подвержен.
Подробности проблемы пока не раскрываются. Уязвимость подробно опишут, а инструкции по защите сайтов опубликуют 20 мая на официальном портале безопасности Drupal.
Разработчики Drupal предупредили , что готовятся экстренно выпустить обновление безопасности для всех поддерживаемых веток системы управления сайтами. Патчи выйдут 20 мая в промежутке с 17:00 до 21:00 по UTC, а уязвимость уже получила статус «крайне критической».
Команда безопасности Drupal призвала администраторов заранее выделить время, чтобы установить обновления. По словам разработчиков, после того как опубликуют исправления, злоумышленники смогут создать рабочие эксплойты всего за несколько часов или дней. Проблема затрагивает не все конфигурации сайтов, однако разработчики советуют проверить ресурсы сразу после выхода обновлений. Информация о том, как снизить риск, появится вместе с бюллетенем безопасности.
Исправления подготовят для всех поддерживаемых веток Drupal Core, включая версии 11.3.x, 11.2.x, 10.6.x и 10.5.x. Владельцам сайтов порекомендовали заранее обновиться до последних доступных исправлений внутри своих веток, чтобы избежать дополнительных проблем, когда придётся устанавливать срочный патч.
Из-за серьёзности уязвимости команда Drupal также выпустит обновления для устаревших веток 11.1.x и 10.4.x, хотя обычно поддержка таких версий уже прекращается. Владельцам сайтов на Drupal 11.0 и 11.1 посоветовали обновиться минимум до версии 11.1.9. Для веток Drupal 10.0–10.4 рекомендован переход как минимум на Drupal 10.4.9.
Для полностью неподдерживаемых Drupal 8 и Drupal 9 готовых обновлений не будет. Вместо них разработчики опубликуют отдельные файлы исправлений для Drupal 8.9 и 9.5. Такие патчи придётся устанавливать вручную, причём команда проекта предупредила, что исправления могут работать нестабильно и вызывать новые ошибки.
Разработчики также напомнили, что Drupal 8 и 9 содержат множество других известных уязвимостей , которые больше не исправляются. Владельцам таких сайтов рекомендовали как можно быстрее перейти хотя бы на Drupal 10.6. Drupal 7, по данным команды проекта, уязвимости не подвержен.
Подробности проблемы пока не раскрываются. Уязвимость подробно опишут, а инструкции по защите сайтов опубликуют 20 мая на официальном портале безопасности Drupal.
- Источник новости
- www.securitylab.ru
