Szerdán kiemelt frissítés érkezik a Drupal 6.x, 7.x, 8.x verziókhoz

 ( nevergone | 2018. március 27., kedd - 8:57 )

E hét szerdán a Drupal Security Team felhívást tett közzé, amelyben előre, egy héttel korábban tájékoztatja a közösséget, hogy március 28-án este magyar idő szerint este 20 és 21.30 óra közötti másfél órás időablakban várható, hogy egy kritikus biztonsági hibát javító új verzió fog megjelenni.

Mivel a leendő javítás valamennyi, D7-es és D8-as alaprendszereket érinti, ezért a Drupal Security Team kéri valamennyi, ezen főverziókon üzemelő éles webhely tulajdonosát és üzemeltetőjét, hogy időben kezdjen el felkészülni, hogy a frissítés megjelenését követően mielőbb a javított főverziót futtathassák.

A helyzet komolyságára való tekintettel a javítást elkészítik hivatalosan már nem támogatott Drupal 8.3.x és 8.4.x alverziókra is.

Mi a teendőm?

Attól függ, milyen verziójú webhelyről van szó:

  • 8.5.x a javítás közzétételekor azonnal frissíthető a szokásos eljárással.
  • 8.4.x a javítás közzétételekor tartalmazni fog egy 8.4.x-es kiadást, melyre azonnal frissíthető. Ezt követően egy hónapon belül javasolt átállni a következő 8.5.x-es biztonsági kiadásra.
  • 8.3.x a javítás közzétételekor tartalmazni fog egy 8.3.x-es kiadást, melyre azonnal frissíthető. Ezt követően egy hónapon belül javasolt átállni a következő 8.5.x-es biztonsági kiadásra.
  • 7.x a javítás közzétételekor azonnal frissíthető a szokásos eljárással.
  • 6.x: bár ez a főverzió is érintett a szóban forgó sérülékenységgel, de hivatalosan már jó ideje nem támogatott, ezért számunkra érdemes igénybe venni valamelyik LTS-programban (Long Term Support) résztvevő szolgáltató tanácsadását.

Annyi már előre látható, hogy a javítás nem igényel adatbázis-frissítést.

Hol kövessem az újabb híreket?

  • D.org-on: https://www.drupal.org/security
  • Twitteren: @drupalsecurity
  • E-mailben: érdemes feliratkozni a Security announcements című hírlevélre a D.org felhasználói fiók szerkesztési fülén a „My newsletters” fülön.
  • Sajtóérdeklődést a security-press (a) drupal.org e-mail címen fogadnak.

Ez a bejegyzés az angol eredeti Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 hozzávetőleges magyar fordítása és nem fog frissülni. Minden további újabb információ a Drupal.org-on lesz közzétéve.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Erős gebaszt találhattak akkor

Remélem ezúttal patch nélkül is lehet majd frissíteni, mert a 8.5.0-ra való frissítésnel azért akadtak gondok.

Milyen gondok? Azért a 8.5.0 nagyobb volt, mint egy szokványos hibajavító kiadás.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Hála az égnek, ez a HUP-ot nem érinti.

Drupal 6 is erintett lehet, de (ahogy a cikkben is irja) a 6-os verzio mar nem tamogatott igy nem vagyok meggyozodve, hogy lesz hivatalos patch 28-an

Nekem ugy remlik, mintha 5-os verzio lenne itt hasznalva.

---
Apple iMac 27"
áéíóöőúüű

Jaja

Kerdes, hogy abban meg nem volt benne a hibas kod, vagy nem patcheltek meg, mert "tul regi"?

Valóban. Itt Drupal 5 van. Ha érintett lesz, akkor készítünk hozzá patchet. Közben készül a Drupal 8-as HUP a háttérben. Ha minden jól megy, hamarosan lesz belőle egy publikus béta. Ha az problémamentes lesz, akkor pedig jön az átállás.

--
trey @ gépház

Már hűtöm is a sört! :D

[ Falu.me, Tárhely, Domain, VPS ]

Úgy érted, próbálod kihúzni a nyugdíjig? :D

Nyugalom, a Duke Nukem Forever is megjelent egyszer. ;)

--
trey @ gépház

Ah, nekem ugy remlett, hogy volt upgrade 6-ra. Valoszinu csak fol volt vetve a tema es roszul emlekezetem.

Tervben volt, de semmit sem adott volna a jelenlegihez képest. Előnye az lett volna, hogy a mostani theme (vagy smink, kinek mi tetszik), reszelés nélkül kompatibilis lett volna vele, illetve elfutott volna a régi szerver régi FAMP környezetén, OS + AMP stack jelentős frissítése nélkül is. Azon a szerveren nem lett volna már értelme ekkora munkát csinálni.

Utána jött a 7, amihez már módosítani kellett volna a theme-t. Ekkor ment a vacillálást, hogy akkor legyen-e új kinézet, vagy sem. Sajnos a 7-hez már új AMP kellett, ahhoz meg új OS, ahhoz meg új szerver. Mivel nem lett döntés jó ideig, eltelt annyi idő, hogy felesleges volt a 7-re váltást megcsinálni, mert "1-2 hónap múlva úgyis jön ki a 8, majd arra"!

Most már van új szerver, akár új OS-t is lehet rá tenni, arra új AMP-et, arra pedig D8-at.

A migráció megvan, az éles rendszer migrálásának folyamata megvan, a régi theme portolása kész, a D5 meglévő és szükséges, de a 8-ból hiányzó / máshogy megvalósított funkció elvileg megvannak. Zárt alpha már van. Azt beszéltük, hogy megvárjuk ezt a sec. frissítést (nem teszünk ki ismerten lyukat D8-at), majd ha patchelve van, akkor én letesztelem az összes szükséges funkciót:

- írások, szavazások, blogok
- csoportjogosultságok (veteran stb.)
- beviteli formák, kimeneti szűrők
- kommentelés
- régi kinézet / működés funkciók

Ha ezek mennek, akkor lesz egy publikus béta. Ha az kész, akkor mehet majd az éles rendszer migrálása, ehhez majd leállást tervezünk.

Jelenleg az utolsó előtti lépésnél tartunk.

Tehát annyiban javítanám a szálnyitót, hogy az éles HUP-ot nem biztos, hogy érinti, viszont a fejlesztői/alpha verzió biztosan érinti.

--
trey @ gépház

Koszonom a reszletes beszamolot es kivancsian varom a publikus betat. :)