一、下载地址:
https://ftp.drupal.org/files/projects/drupal-10.0.11.tar.gz
二、发布说明
这是Drupal 10系列的一个安全版本。
此版本修复了安全漏洞(缓存中毒漏洞)。官方强烈建议立即更新,以下是更新的漏洞:
Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞 ( https://www.drupal.org/sa-core-2023-006)
三、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞描述
在某些情况下,Drupal的JSON:API模块将输出错误回溯。对于某些配置,这可能会导致敏感信息被缓存并提供给匿名用户,从而导致权限提升。
此漏洞仅影响启用了JSON:API模块的站点,可以通过卸载JSON:API来缓解。
核心REST和贡献的GraphQL模块不受影响。
Drupal Steward的合作伙伴已经意识到了这个问题。一些平台可能会提供缓解措施。然而,并不是所有的WAF配置都能缓解这个问题,因此如果您的网站使用JSON:API,仍然建议立即更新到此安全版本。
四、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞修复
1、如果您正在使用Drupal 10.1,请更新到Drupal 10.1.4。
2、如果您正在使用Drupal 10.0,请更新到Drupal 10.0.11。
3、如果您正在使用Drupal 9.5,请更新到Drupal 9.5.11。
4、Drupal 9.5之前的所有版本都已报废,不接受安全保障。注意,Drupal 8已经到了生命的尽头。
5、Drupal 7不受影响。
五、我应该选择哪个版本?安全覆盖范围信息
1、Drupal 10.0.x将获得安全保障,直到2023年12月Drupal 10.2.0发布。
2、Drupal9.5.x上的站点应该立即更新到Drupal 9.5.11,而不是本版本,但应在2023年11月前更新到Drupal 10。
3、9.5.x之前的Drupal 9版本已经失效,不接受安全更新。
4、Drupal 8已停止更新,不接受安全保障。