Представлен (https://www.drupal.org/SA-CORE-2017-004) корректирующий выпуск системы управления контентом Drupal 8.3.7 (https://www.drupal.org/project/drupal/releases/8.3.7) в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имею разные ограничения доступа в разных ревизиях.
Вторая уязвимость CVE-2017-6923 отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданным правилам доступа. Связанная с Ajax уязвимость также проявляется (https://www.drupal.org/PSA-2017-002) во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный доступ. Третья уязвимость CVE-2017-6924 позволяет разметить комментарий через REST API, даже если пользователь не имеет полномочий на отправку комментариев и в обход системы подтверждения.
URL: https://www.drupal.org/SA-CORE-2017-004
Новость: http://www.opennet.me/opennews/art.shtml?num=47052
GRAV
Какой же твой комментарий наивный, это примерно тоже самое если бы новость была
"В двигателе воздушного лайнера Боинг-737 найден заводской дефект"
а ты бы ответил
"Велосипед!"
Во-первых одно к другому не клеится ни разу, а во-вторых Drupal уже лет 6 вылизывают а Grav только из беты вылез, что по твоему более дырявое?
>Drupal уже лет 6 вылизывают а Grav только из беты вылез, что по твоему более дырявое?Похоже в Drupal вылизывание приводит лишь к пролизыванию новых дыр.
То же самое можно сказать и про, например вордпресс. А всё почему? Потому что внутри оно состоит из навоза, соплей и прутиков. Такой лапши я не видел уже со времён php3.
> То же самое можно сказать и про, например вордпресс. А всё почему?
> Потому что внутри оно состоит из навоза, соплей и прутиков. Такой
> лапши я не видел уже со времён php3.Сделай лучше! Подключайся к разработке, форкай, делай что-нибудь полезное, или диванному аналитику только языком болтать?
> Сделай лучше!Лучше уже есть.
Ну, кусок дерьма можно вылизывать и 10 лет, но станет ли сильно лучше? А вот алмазин сначала выглядит довольно непривлекательно, но нужно лишь немного его отшлифовать.
Ну на любителя, такое...
> Какой же твой комментарий наивный, это примерно тоже самое если бы новость
> была "В двигателе воздушного лайнера Боинг-737 найден заводской дефект"
> а ты бы ответил "Велосипед!"Лучше (и в сто раз надежнее) уж велосипед, чем взятый за основу дельтаплан, которому с помощью фанеры, скотча, красивого серебристого лака с блестками и пластиковых труб с вентиляторами придали форму сурьезного самолета.
Но как бы ни был хорош твой велосипед, он не полетит, не для того он предназначен.
Да и не заставляет тебя никто сабжем пользоваться, сделай свое по ГОСТу и пользуйся, а языком ворочать любой дурак может...
> Но как бы ни был хорош твой велосипед, он не полетит, не
> для того он предназначен.Будто дельтаплан, обклееный фанерой и скотчем, с вентиляторами в пластиковой трубе вместо турбины летать будет. Разве что нызэнко-нызенко, если его еще к велосипеду прикрутить
> Да и не заставляет тебя никто сабжем пользоваться, сделай свое по ГОСТу и пользуйся,
Так и делаю уже лет 12. Но все равно, спасибо за совет!
>а дурацкие аналогие приводить любой дурак может...пофиксил, в качестве жеста благодарности
> GRAV
>Flat-File Architectureзнаешь куда проследовать?
А значит и юниксовское "всё есть файл" тоже проследует туда же? Druzalupal на виндовом сервере запускать надо, так достаточно канонично?
gantry + grav
Gantry... Ну, даже не знаю. Домохозяйкам для бьюти-блогов настроек много не надо, всё равно дефолт менять не будут, да и не стоит давать лишней возможности давать сделать прямо из браузера Comic Sans розовым цветом. Те, кому действительно нужно что-то изменить под себя наверняка сделают всё ручками, а скорее, даже, свою тему запилят. А Гантри... Непонятно, для кого он? Для школьников (не в оскорбительном смысле), чтобы набросать лендинг, разве что? Серьёзно, я не могу уловить, для какой аудитории предназначены подобные свистелки.
А что его сайт почти минуту грузится, когда остальные секунды, это из-за фреймворка?
> GRAVА что когда я ухожу со вкладки с https://getgrav.org/ на опеннет а потом возврящаюсь там 5 сек. колесо загрузки с пустым экраном висит, это фреймворк такой, ну и г...о же.
Вы там с тостера сидите, что-ли? Firefox, GNU/Linux, KDE, комп 10-летней давности, однако, таких проблем не наблюдаю.
Может, всё-таки, "проблема в тебе"?
> Вы там с тостера сидите, что-ли? Firefox, GNU/Linux, KDE, комп 10-летней давности,
> однако, таких проблем не наблюдаю.
> Может, всё-таки, "проблема в тебе"?Firefox 55.0.2, win7, работа, может прблема в неумении работать без сети и javascript головного мозга?
Я обновил свой сайт быстрее чем обновили версию в composer е.