1. Главная
  2. Блоги
  3. Блог Ильич Рамирес Санчес

Drupal 6.22 и 7.2

Главные вкладки

Дырке нашли.
Цытато:

-------- DESCRIPTION
---------------------------------------------------------

Multiple vulnerabilities and weaknesses were discovered in Drupal.

.... Reflected cross site scripting vulnerability in error handler

A reflected cross site scripting vulnerability was discovered in Drupal's
error handler. Drupal displays PHP errors in the messages area, and a
specially crafted URL can cause malicious scripts to be injected into the
message. The issue can be mitigated by disabling on-screen error display at
admin/settings/error-reporting. This is the recommended setting for
production sites.

This issue affects Drupal 6.x only.

.... Cross site scripting vulnerability in Color module

When using re-colorable themes, color inputs are not sanitized. Malicious
color values can be used to insert arbitrary CSS and script code. Successful
exploitation requires the "Administer themes" permission.

This issue affects Drupal 6.x and 7.x.

Бодрячком, пацанчики. Бодрячком. Обновляемся. Smile

Комментарии

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 1:56

"run" wrote:
Обновиться или подождать до утра 7.3? ;)

хз. я brainstormblogger обновляю раньше времени. накопилось там...
да. я седня таки выиграл в специальна алимпеаде первонахов Smile

Аватар пользователя Master of Tragedy Master of Tragedy 26 мая 2011 в 1:55

"Ильич Рамирес Санчес" wrote:
http://drupal.org/node/3060/release
пацаны решили побить рекорд по числу минорных версий за ночь? да? :)

Такое случалось уже. Года полтора назад.

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 2:13

"RxB" wrote:
Почему не на глагнэ?

патамушта не а праблемах саобщества.

"Shift-Web" wrote:
Хе-хе ))) Я всё таки подожду пока )))

да вроде ничо не сломалось

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 2:36

"Shift-Web" wrote:
Обновляйтесь — не стесняйтесь, это не последний раз (:

не каркай.

"Andruxa" wrote:
простиде чад туд?

чмоке в нашем чате. ага

Даю вольный перевод.
1. Дыра со штуковиной где выводятся сообщения об ошибках. По специально созданному URL можно в это сообщение просунуть неотфильтрованый HTML ну и соответственно JS и тем самым поиметь пользователя.(если удастсо дать ему такой урл. да)
2. Cross site scripting vulnerability in Color module
та же песня но нет чистки ввода вывода при работе модуля color и перекрашиваемых тем. Черей кз значения цвета можно просунуть вредоносный код(ога. админ враг сам себе).
6.x, 7.x

ну и любопытныа могут пойти на d.org и почитать changelog

я 12 часов пишу код сегодня, читаю (削除) Шекспира в оригинале (削除ここまで) доку, и с русским у меня седня просто хуево.(ламир должен с этого неебически радовацо. да.)
пайду спать

Аватар пользователя Shift-Web Shift-Web 26 мая 2011 в 2:43

"Ильич Рамирес Санчес" wrote:
не каркай.

вот ещё ... у меня твиттер есть Smile

"Ильич Рамирес Санчес" wrote:
я 12 часов пишу код сегодня, читаю Шекспира в оригинале доку, и с русским у меня седня просто хуево.(ламир должен с этого неебически радовацо. да.)
пайду спать

Quote:

Стоять, мерзкий раб! Никто не отпускал тебя спать. Ты должен дождаться рассвета и тогда можешь почивать! Дождись обновления, обновись и на сегодня можешь позволить себе 3 часа сна.

-------------
Yours, Drupal

Аватар пользователя Pirat Pirat 26 мая 2011 в 11:26

Господа простите за нубский вопрос, а как можно обновить с 7.0 до 7.2? вручную залить файлы для установки на существующий сайт и запустить update.php? и что рекомендуется сделать перед обновлением кроме полного backup'а?

Аватар пользователя Sentrashy@drupal.org Sentrashy@drupal.org 26 мая 2011 в 11:50

"Pirat" wrote:
Господа простите за нубский вопрос, а как можно обновить с 7.0 до 7.2? вручную залить файлы для установки на существующий сайт и запустить update.php? и что рекомендуется сделать перед обновлением кроме полного backup'а?

хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

Аватар пользователя Pirat Pirat 26 мая 2011 в 11:58

"<a href="mailto:Sentrashy@drupal.org">Sentrashy@drupal.org</a>" wrote:
хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

Спасибо попробую, я вот тоже думаю что надо drush освоить, да чего-то никак не соберусь

Аватар пользователя Ильич Рамирес Санчес Ильич Рамирес Санчес 26 мая 2011 в 12:32

"<a href="mailto:Sentrashy@drupal.org">Sentrashy@drupal.org</a>" wrote:
хз, я научился писать команду drush up. Больше ни одного телодвижения Wink
А вообще должен быть мануал по обновлению, скачайте 7.2, может внутри лежит.

а что делать если у клиента нет ssh?

Аватар пользователя MaNaX MaNaX 26 мая 2011 в 12:38

Гы а у меня никак не обновляет версию. все делаю по инструкции, но при заходе на update.php никакая новая версия не высвечивает и после обновления все равно высвечивает 6.20.

Аватар пользователя Sentrashy@drupal.org Sentrashy@drupal.org 26 мая 2011 в 12:47

"Ильич Рамирес Санчес" wrote:
а что делать если у клиента нет ssh?

не знаю, я пока не вкурил немного про ssh и drush, с 6.19 до 6.20 стремался обновляться Wink Обновлял только модули.

Логотип drupal.ru

Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.

Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code

Drupal – торговая марка Дриса Бёйтарта

12+

AltStyle によって変換されたページ (->オリジナル) /