Drupal 7.34 стал релизом для безопасности. Сайты рекомендуется обновить сразу после прочтения объявления безопасности, уровень умеренно-критический, так что это весьма важный релиз.
Специально созданный запрос может дать пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику перехватить случайный сеанс. Это нападение, как стало известно, можно вычислить по определенным Drupal 7 сайтам, которые работают как в HTTP, так и в HTTPS контенте ( "смешанный режим" ), но возможно есть и другие направления атаки и для Drupal 6 и Drupal 7.
Drupal 7 включает в себя хэширование паролей API для обеспечения того, чтобы внедренные пользовательские пароли хранились не в виде простого текста. Уязвимость в этом API позволяет злоумышленнику послать специально созданные запросы, в результате процессора и памяти могут сбоить. Это может привести к состоянию недоступности сайта или зависанию (отказ в обслуживании). Эта уязвимость может быть использована анонимными пользователями.
Специалисты SStudio рекомендуют обновить все сайты до нового обновления. Все сайты, находящиеся на техобслуживании, обновлены в первые несколько часов после выхода обновления.
Россия, Калужская область, Калуга, пл. Старый Торг, 5 (пропускная система, вход только по предварительному согласованию!)