Народ подскажите чайнику простым русским языком....
При обновлении модулей или ядра сайта с недавнего времени в композере выдает - Found 1 security vulnerability advisory affecting 1 package.
запуск команды - composer audit
выдает ссылку https://github.com/advisories/GHSA-4486-gxhx-5mg7
с чем связано, чем грозит и необходимо ли вносить изменения
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Я так понимаю данной уязвимостью можно воспользоваться только если удалось подключиться к серверу по ssh. Если у вас логин и пароль от ssh не раскрыты, то проблем нет.
Данный пакет популярный, подождите, скоро заплатка выйдет. При очередном обновлении пофиксится уязвимость.
Это уже больше двух месяцев точно, причем на трех сайтах, которые делал один и тот же человек
Тут вариантов не так много будет)
Вариант No 1
Судя по composer.lock файлу, пакет psy/psysh требуется для
- drupal/console
- drush/drush
Если вам не нужны указанные 2 пакета, то можете их удалить с сайта. Пакет psy/psysh удалится автоматом.
Вариант No 2
Ждать, когда разработчики psy/psysh обновят свой пакет.
Вариант No 3
Попробовать найти патч для лечения уязвимости и применить его на сайте.
Вариант No 4
Разобраться в чем именно уязвимость пакета psy/psysh и попробовать написать свой патч для закрытия уязвимости.
Думаю, что относительно этого пункта нужно дополнительно пояснить для автора, что оба пакета (console и drush) относятся к инструментам разработки и обслуживания сайта. Если, конечно, psysh нужен только для них. То есть - их отсутствие (пусть временное) не скажется на работе сайта. А когда они потребуются (т.е. когда к делу опять подключится разработчик) - он их установит заново или найдёт способ, как разобраться с их отсутствием.
В любом случае очень желателен бекап сайта перед удалением этих пакетов.
Чаще всего крон джобы запускаются через drush, поэтому нужно быть увереным перед удалением этого пакета.
Думаю, сочетание "чаще всего" - всё же как бы несколько спорно. Предлагаю заменить на "иногда" или "порой". Wink В большинстве случаев по крону работает стандартный пул хуков hook_cron из модулей и этого обычно достаточно, специфические же кронджобы для drush - явление не такое частое.
Но проверить состояние кронтаба и что он вообще запускает - да, совсем не будет лишним. А вдруг.