В Drupal объявился очень опасный баг
Веб-разработчикам Drupal следует учесть, что на следующей неделе им придется исправлять чрезвычайно серьезную ошибку в ядре этой CMS-системы версий 7 и 8.
В уведомлении, разосланном разработчикам в минувшую среду, им сообщают, что «28 марта с 18-00 до 19-30 UTC состоится выпуск патчей для Drupal 7.x, 8.3.x, 8.4.x и 8.5.x». О каком баге идет речь, не уточняется, сказано лишь, что это «уязвимость, в высшей степени критичная для системы безопасности».
«Команда безопасности Drupal убедительно просит вас заранее выделить время на обновление ядра в указанный срок, так как эксплойты могут быть созданы в считанные часы или дни», — пишут далее авторы нотификации.
В настоящее время Drupal используют около 1 млн сайтов; эта CMS-система пользуется особой популярностью у бизнес-структур, специализирующихся на электронной коммерции.
Безопасники также подчеркнули, что снятые с поддержки ветки Drupal тоже получат патчи, так как данная проблема весьма серьезна: «Исправление будет включено в релизы 8.3.x и 8.4.x для тех сайтов, которые еще не обновились до 8.5.0».
Когда появятся заплатки, будет опубликован официальный бюллетень с перечнем новых выпусков, и тогда рекомендуется действовать быстро:
- сайты на Drupal 8.3.x нужно будет незамедлительно обновить до релиза 8.3.x, указанного в бюллетене, а на следующий месяц запланировать установку новейшей сборки 8.5.x с патчами;
- сайты на 8.4.x обновить до релиза 8.4.x, также указанного в бюллетене, и в течение месяца перейти на новейшую пропатченную Drupal 8.5.x;
- обновление сайтов на 7.x или 8.5.x по выходе бюллетеня можно будет произвести в обычном порядке.