Drupal, uno tra i più noti CMS attualmente utilizzati per costruire siti web, ha rilasciato recentemente un importante aggiornamento valido sia per la versione 7.x che per la versione 8.x.
L’ aggiornamento Drupal va a correggere un problema di sicurezza presente nel core del CMS, che per praticità riporto il testo dell’annuncio da Drupal.org il 21 marzo 2018:
Una settimana dopo la pubblicazione del documento di avviso, Drupal ha rilasciato il 28 marzo 2018 tra le 18:00 e le 19:30 UTC, correggendo una vulnerabilità di sicurezza molto critica che interessa tutte le versioni Dupal 7.x, 8.3.x, 8.4.x e 8.5.x .
Il team Drupal Security ti esorta a riservare tempo per gli aggiornamenti principali in quel momento, perché gli exploit potrebbero essere sviluppati in poche ore o giorni. Gli annunci sulla versione di sicurezza sono visualizzati nella pagina di consulenza sulla sicurezza di Drupal.org.
Sebbene Drupal 8.3.x e 8.4.x non siano più supportati e di solito non vengono fornite release di sicurezza per release secondarie non supportate, data la potenziale gravità di questo problema, includono la correzione per siti che non hanno ancora avuto la possibilità di aggiornare a 8.5.0.
SoS PC a Domicilio è disponibile ad aggiornare il tuo sito, contattami con fiducia!
Il team di sicurezza Drupal raccomanda vivamente quanto segue:
- I siti su 8.3.x devono essere immediatamente aggiornati alla versione 8.3.x che verrà fornita nell’advisory, quindi pianificare l’aggiornamento alla versione di sicurezza 8.5.x più recente nel mese successivo.
- Quelli con 8.4.x devono essere immediatamente aggiornati alla versione 8.4.x che verrà fornita nell’advisory e quindi pianificare l’aggiornamento alla versione di sicurezza 8.5.x più recente nel mese successivo.
- Mentre i siti che hanno 7.xo 8.5.x possono essere immediatamente aggiornati quando l’advisory viene rilasciato utilizzando la normale procedura.
L’avviso di sicurezza elencherà i numeri di versione appropriati per tutti e tre i rami Drupal 8. La pagina del rapporto di aggiornamento del sito raccomanderà la versione 8.5.x anche se si è su 8.3.x o 8.4.x, ma l’aggiornamento temporaneo sul backport fornito per la versione corrente del sito garantirà l’aggiornamento rapido senza i possibili effetti collaterali di un aggiornamento della versione minore.
Questa release non richiederà un aggiornamento del database.
Il CVE per questo problema è CVE-2018-7600. L’identificatore specifico di Drupal per il problema è SA-CORE-2018-002.
Il team di sicurezza o qualsiasi altra parte non è in grado di rilasciare ulteriori informazioni su questa vulnerabilità fino all’annuncio. L’annuncio è stato reso pubblico su https://www.drupal.org/security e su Twitter e in email per coloro che si sono iscritti alla nostra mailing list.
Leggi anche gli altri articoli per approfondimenti.
Fonte: Drupal.org Security Fix