drupal 10.0.11发布

一、下载地址:

https://ftp.drupal.org/files/projects/drupal-10.0.11.tar.gz

二、发布说明

这是Drupal 10系列的一个安全版本。

此版本修复了安全漏洞(缓存中毒漏洞)。官方强烈建议立即更新,以下是更新的漏洞:

Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞 ( https://www.drupal.org/sa-core-2023-006)

三、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞描述

在某些情况下,Drupal的JSON:API模块将输出错误回溯。对于某些配置,这可能会导致敏感信息被缓存并提供给匿名用户,从而导致权限提升。

此漏洞仅影响启用了JSON:API模块的站点,可以通过卸载JSON:API来缓解。

核心REST和贡献的GraphQL模块不受影响。

Drupal Steward的合作伙伴已经意识到了这个问题。一些平台可能会提供缓解措施。然而,并不是所有的WAF配置都能缓解这个问题,因此如果您的网站使用JSON:API,仍然建议立即更新到此安全版本。

四、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞修复

1、如果您正在使用Drupal 10.1,请更新到Drupal 10.1.4。

2、如果您正在使用Drupal 10.0,请更新到Drupal 10.0.11。

3、如果您正在使用Drupal 9.5,请更新到Drupal 9.5.11。

4、Drupal 9.5之前的所有版本都已报废,不接受安全保障。注意,Drupal 8已经到了生命的尽头。

5、Drupal 7不受影响。

五、我应该选择哪个版本?安全覆盖范围信息

1、Drupal 10.0.x将获得安全保障,直到2023年12月Drupal 10.2.0发布。

2、Drupal9.5.x上的站点应该立即更新到Drupal 9.5.11,而不是本版本,但应在2023年11月前更新到Drupal 10。

3、9.5.x之前的Drupal 9版本已经失效,不接受安全更新。

4、Drupal 8已停止更新,不接受安全保障。
 

联系我们

提供基于Drupal的门户网站、电子商务网站、移动应用开发及托管服务

联系电话
137-9572-6015
长按加微信
长风云微信
长按关注公众号
长风云公众号