1. Главная
  2. Форумы
  3. Техподдержка Drupal
  4. Решение проблем

PsySH

Главные вкладки

Народ подскажите чайнику простым русским языком....
При обновлении модулей или ядра сайта с недавнего времени в композере выдает - Found 1 security vulnerability advisory affecting 1 package.
запуск команды - composer audit
выдает ссылку https://github.com/advisories/GHSA-4486-gxhx-5mg7
с чем связано, чем грозит и необходимо ли вносить изменения

Комментарии

Аватар пользователя kosskren kosskren 19 июня в 7:58

Я так понимаю данной уязвимостью можно воспользоваться только если удалось подключиться к серверу по ssh. Если у вас логин и пароль от ssh не раскрыты, то проблем нет.
Данный пакет популярный, подождите, скоро заплатка выйдет. При очередном обновлении пофиксится уязвимость.

Аватар пользователя kosskren kosskren 19 июня в 14:26

Тут вариантов не так много будет)

Вариант No 1
Судя по composer.lock файлу, пакет psy/psysh требуется для
- drupal/console
- drush/drush

Если вам не нужны указанные 2 пакета, то можете их удалить с сайта. Пакет psy/psysh удалится автоматом.

Вариант No 2
Ждать, когда разработчики psy/psysh обновят свой пакет.

Вариант No 3
Попробовать найти патч для лечения уязвимости и применить его на сайте.

Вариант No 4
Разобраться в чем именно уязвимость пакета psy/psysh и попробовать написать свой патч для закрытия уязвимости.

Аватар пользователя OldWarrior OldWarrior 19 июня в 14:45

kosskren wrote: Вариант No 1
Судя по composer.lock файлу, пакет psy/psysh требуется для
- drupal/console
- drush/drush

Если вам не нужны указанные 2 пакета, то можете их удалить с сайта. Пакет psy/psysh удалится автоматом.

Думаю, что относительно этого пункта нужно дополнительно пояснить для автора, что оба пакета (console и drush) относятся к инструментам разработки и обслуживания сайта. Если, конечно, psysh нужен только для них. То есть - их отсутствие (пусть временное) не скажется на работе сайта. А когда они потребуются (т.е. когда к делу опять подключится разработчик) - он их установит заново или найдёт способ, как разобраться с их отсутствием.

В любом случае очень желателен бекап сайта перед удалением этих пакетов.

Аватар пользователя OldWarrior OldWarrior 28 июня в 13:23
1

Думаю, сочетание "чаще всего" - всё же как бы несколько спорно. Предлагаю заменить на "иногда" или "порой". Wink В большинстве случаев по крону работает стандартный пул хуков hook_cron из модулей и этого обычно достаточно, специфические же кронджобы для drush - явление не такое частое.

Но проверить состояние кронтаба и что он вообще запускает - да, совсем не будет лишним. А вдруг.

Логотип drupal.ru

Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.

Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code

Drupal – торговая марка Дриса Бёйтарта

12+

AltStyle によって変換されたページ (->オリジナル) /