Обновления движка сайта

Сайты клиентов, заключивших договор техподдержки с SStudio, переведены на новейшую версию Drupal 7.38.

Это критическое обновление безопасности, и всем клиентам, которые не заключили с нами договор техподдержки, мы рекомендуем немедленно обновить свои сайты.

Выявленные уязвимости касаются работы нескольких распространенных модулей:

Drupal 7.34 стал релизом для безопасности. Сайты рекомендуется обновить сразу после прочтения объявления безопасности, уровень умеренно-критический, так что это весьма важный релиз.

Специально созданный запрос может дать пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику перехватить случайный сеанс. Это нападение, как стало известно, можно вычислить по определенным Drupal 7 сайтам, которые работают как в HTTP, так и в HTTPS контенте ( "смешанный режим" ), но возможно есть и другие направления атаки и для Drupal 6 и Drupal 7.

Специалисты SStudio провели апдейт всех сайтов клиентов на Drupal, подписавших договор о технической поддержке их порталов.

Обновление Drupal 7.33 вышло 7 ноября, и в этот же день апдейт был завершен на всех обслуживаемых сайтах.

15 октября движок Drupal выпустил экстренное обновление 7.32, устраняющее выявленные уязвимости в системе безопасности. SStudio уже обновил все сайты клиентов, заключивших договоры на техническое обслуживание. Крайне рекомендуется тем, кто не заключил, - сделать это обновление самостоятельно.

Выявленная уязвимость в API Drupal позволяет злоумышленнику послать специально созданные запросы, приводящие в результате к выполнению произвольного SQL. В зависимости от содержания запросов это может привести к повышению привилегий, выполнению произвольного PHP или другим атакам.

Произведено массовое обновление сайтов клиентов, заключивших договор на техническое обслуживание своих сайтов с SStudio.

После последнего обновления до 7.29 на некоторых сайтах возникла проблема с загрузкой и отображением миниатюр изображений в статьях и терминах таксономии. Сообщество поддержки оперативно, в течение трех дней, выпустило обновление, нейтрализующее подобные последствия.

В настоящее время ни одной проблемы на сайтах клиентов с техническим обслуживанием специалистами SStudio не наблюдается.

Техническая поддержка SStudio произвела критически важные обновления модулей сайтов на Drupal тех клиентов, которые заключили договор на техническое обслуживание своих сайтов.

В первую очередь, обновления коснулись самых популярных модулей Drupal - Views, Colorbox и IMCE.

Обновления модулей до актуальных версий важно для формирования защищенной среды сайта, и оберегает сайты от взлома.

16 апреля вышло критическое обновление безопасности для Drupal 7.27. В тот же день произведено обновление сайтов клиентов SStudio, заключивших договоры на техническое обслуживание.

Обновление 7.27 закрывает критическую уязвимость в системе безопасности сайтов, которые предоставляют Ajax- или multi-step формы для анонимных пользователей из кэша страниц (если страница в кэше либо Drupal либо внешней системы).

16 января проведен апгрейд сайтов клиентов, заключивших с SStudio договор на техническое обслуживание сайтов, и сделанных на CMS Drupal, до новейшей версии 7.26.

Обновление сайтов произведено ровно в день выхода нового релиза движка.

Обновление до версии 7.26 закрывает следующие потенциальные уязвимости сайта:

- подмена аккаунта администратора под OpenID (если администратор имеет OpenID-аккаунт и у злоумышленника есть логин на сайте)

- несанкционированный доступ к закрытым страницам сайта через списки тегов (для сайтов, обновленных с 6 версии Drupal)