В Drupal объявился очень опасный баг

24 марта 2018 г., суббота

Веб-разработчиков просят в среду выделить время на латание критической бреши в ядре CMS-системы версий 7 и 8.

Веб-разработчикам Drupal следует учесть, что на следующей неделе им придется исправлять чрезвычайно серьезную ошибку в ядре этой CMS-системы версий 7 и 8.

В уведомлении, разосланном разработчикам в минувшую среду, им сообщают, что «28 марта с 18-00 до 19-30 UTC состоится выпуск патчей для Drupal 7.x, 8.3.x, 8.4.x и 8.5.x». О каком баге идет речь, не уточняется, сказано лишь, что это «уязвимость, в высшей степени критичная для системы безопасности».

«Команда безопасности Drupal убедительно просит вас заранее выделить время на обновление ядра в указанный срок, так как эксплойты могут быть созданы в считанные часы или дни», — пишут далее авторы нотификации.

В настоящее время Drupal используют около 1 млн сайтов; эта CMS-система пользуется особой популярностью у бизнес-структур, специализирующихся на электронной коммерции.

Безопасники также подчеркнули, что снятые с поддержки ветки Drupal тоже получат патчи, так как данная проблема весьма серьезна: «Исправление будет включено в релизы 8.3.x и 8.4.x для тех сайтов, которые еще не обновились до 8.5.0».

Когда появятся заплатки, будет опубликован официальный бюллетень с перечнем новых выпусков, и тогда рекомендуется действовать быстро:

  • сайты на Drupal 8.3.x нужно будет незамедлительно обновить до релиза 8.3.x, указанного в бюллетене, а на следующий месяц запланировать установку новейшей сборки 8.5.x с патчами;
  • сайты на 8.4.x обновить до релиза 8.4.x, также указанного в бюллетене, и в течение месяца перейти на новейшую пропатченную Drupal 8.5.x;
  • обновление сайтов на 7.x или 8.5.x по выходе бюллетеня можно будет произвести в обычном порядке.

Threatpost