Критическая уязвимость в ядре Drupal версий 6, 7 и 8 +7


www.drupal.org/SA-CORE-2018-002

Ещё неделю назад Drupal Security Team анонсировала на 28 марта серьёзный фикс, закрывающий критический баг в безопасности, актуальный для всех версий Drupal 6.x, 7.x и 8.x. Баг позволяет злоумышленнику получить доступ к серверу хостинга с правами веб-сервера. Известного публичного эксплойта, использующего данную уязвимость, пока нет, но скорее всего появится в самое ближайшее время, поэтому всем счастливым владельцам сайтов на Drupal или поддерживающим таковые строго рекомендуется установить обновление как можно скорее.

Сайтам, работающим на версиях 7.x и 8.x, повезло: им просто нужно установить обновление ядра до последней версии, или, если это по каким-то причинам невозможно, накатить на ядро патч, ссылки на соответствующие патчи и версии есть в информационном листке Drupal Security Team.

Владельцам сайтов на неподдерживаемой в настоящий момент 6-й версии повезло меньше, готовой сборки для них нет, но есть патч в проекте Drupal 6 Long Term Support, скачать его можно тут.




К сожалению, не доступен сервер mySQL