www.drupal.org/SA-CORE-2018-002
Ещё неделю назад Drupal Security Team анонсировала на 28 марта серьёзный фикс, закрывающий критический баг в безопасности, актуальный для всех версий Drupal 6.x, 7.x и 8.x. Баг позволяет злоумышленнику получить доступ к серверу хостинга с правами веб-сервера. Известного публичного эксплойта, использующего данную уязвимость, пока нет, но скорее всего появится в самое ближайшее время, поэтому всем счастливым владельцам сайтов на Drupal или поддерживающим таковые строго рекомендуется установить обновление как можно скорее.
Сайтам, работающим на версиях 7.x и 8.x, повезло: им просто нужно установить обновление ядра до последней версии, или, если это по каким-то причинам невозможно, накатить на ядро патч, ссылки на соответствующие патчи и версии есть в информационном листке Drupal Security Team.
Владельцам сайтов на неподдерживаемой в настоящий момент 6-й версии повезло меньше, готовой сборки для них нет, но есть патч в проекте Drupal 6 Long Term Support, скачать его можно тут.
Ещё неделю назад Drupal Security Team анонсировала на 28 марта серьёзный фикс, закрывающий критический баг в безопасности, актуальный для всех версий Drupal 6.x, 7.x и 8.x. Баг позволяет злоумышленнику получить доступ к серверу хостинга с правами веб-сервера. Известного публичного эксплойта, использующего данную уязвимость, пока нет, но скорее всего появится в самое ближайшее время, поэтому всем счастливым владельцам сайтов на Drupal или поддерживающим таковые строго рекомендуется установить обновление как можно скорее.
Сайтам, работающим на версиях 7.x и 8.x, повезло: им просто нужно установить обновление ядра до последней версии, или, если это по каким-то причинам невозможно, накатить на ядро патч, ссылки на соответствующие патчи и версии есть в информационном листке Drupal Security Team.
Владельцам сайтов на неподдерживаемой в настоящий момент 6-й версии повезло меньше, готовой сборки для них нет, но есть патч в проекте Drupal 6 Long Term Support, скачать его можно тут.