Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 24, views: 3.491 •
Bron: Drupal, submitter: quannah

Drupal logoDe ontwikkelaars achter Drupal hebben updates voor versies 6.2 en 7.1 uitgebracht. Drupal is een in php geschreven gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Sinds versie 7.0 is er een vernieuwde interface, die eenvoudiger en intuïtiever zou zijn. Er kunnen verder extra velden, gebruikers, termen, url's, afbeeldingen, lijsten met opties en nog meer aan content worden toegevoegd. Ook is er een automatische test aan het framework toegevoegd om bugs in de code te kunnen opsporen. Ten slotte is de databaselayer volledig herschreven, wat veel beperkingen van de databaselayer in Drupal 6 oplost. Versies 6.27 en 7.19 voegen geen nieuwe functionaliteit toe maar moeten diverse beveiligingsproblemen verhelpen.

Drupal 7.19 and 6.28 released

Drupal 7.19 and Drupal 6.28, maintenance releases which contain fixes for security vulnerabilities, are now available for download. See the Drupal 7.19 and Drupal 6.28 release notes for further information.

Upgrading your existing Drupal 7 and 6 sites is strongly recommended. There are no new features or non-security-related bug fixes in these releases. For more information about the Drupal 7.x release series, consult the Drupal 7.0 release announcement. More information on the Drupal 6.x release series can be found in the Drupal 6.0 release announcement.

Changelog
  • Drupal 7.19 is a security release only. For more details, see the 7.19 release notes. A complete list of all bug fixes in the stable 7.x branch can be found in the git commit log.
  • Drupal 6.28 is a security release only. For more details, see the 6.28 release notes. A complete list of all bug fixes in the stable 6.x branch can be found in the git commit log.
Security vulnerabilities

Drupal 7.19 and 6.28 were released in response to the discovery of security vulnerabilities. Details can be found in the official security advisory: To fix the security problem, please upgrade to either Drupal 7.19 or Drupal 6.28.

Known issues
  • None.

Drupal 7 dashboard (620 pix)

Reacties (24)

Dat was snel na de vorige security update, leuk als je een zooi sites up2date dient te houden ... not!
Dit is weer een typisch voorbeeld van de "het is nooit goed" mentaliteit.
Heb je liever dat ze eens in het halfjaar updaten en je websites in de tussentijd onveilig zijn?
Nee, ik heb liever dat ze bij het ontwikkelen rekening houden met veiligheidsissues en dus niet iedere * weken/maanden een nieuwe release moeten uitbrengen omdat er weer een domme fout inzit.
Over een droomwereld gesproken.
Maar aangezien je praat alsof het zo gemakkelijk is als een broodje smeren: waar is jouw fantastische systeem zonder issues?
Kijk eens naar phpBB zou ik zeggen. 3.0 heeft sinds de release in 2007 geen security releases (En een zeer klein aantal minor issues) gehad, doordat er tijdens de ontwikkeling rekening is gehouden met security.
Je kan Drupal niet vergelijken met een forum systeem. Drupal is veel complexer. Trouwens ken je het verleden van phpBB 2? Zo onveilig was dat!
Nee hoor het goede werk van het security team wordt zeer gewaardeerd. Maar drupal updaten is nou eenmaal arbeidsintensief als je het (of je klant) serieus neemt, en dan is het fijn als het niet al te vaak voorkomt.
Volgens mij is Aegir (http://www.aegirproject.org/) een tool waarmee je grote hoeveelheden sites kunt beheren. Misschien is het wat voor jou.
Is inderdaad een mooi pakket, maar de laatste keer dat ik er naar keek zat dat er nou net niet in. Op zich is het gebaseerd op drupal multisite, dus updaten is een pak simpeler ... of juist niet maar net hoe je het bekijkt :)
Ach, het updaten van Drupal kost niet meer dan een paar minuten. Waar hebben we het over?
Duurt enkele seconden?

"drush up drupal" ;)
paar minuten updaten development machine
10tal minuten impact analyse
paar minuten updaten test omgeving
uurtje voor de testers om goedkeuring te geven
paar minuten updaten staging omgeving
2 uur voor business om goedkeuring te geven
paar minuten om live servers te updaten.

kortom, voor een simpele update ben je al snel een halve dag bezig. Gelukkig is deze security bugs voor mij geen probleem aangezien wij geen gebruik maken van de modules die zijn gefixt.
Het core XSS issue is mogelijk wel een probleem voor je, tenzij je jquery geupdate hebt.
of als je geen formulieren hebt of de error afhandeling van de formulieren anders hebt geregeld.
Hoe kom je daar bij? De "form" in de advisory slaat op "vormen van", niet op formulieren!

Denk eraan dat URLs ook 'user input' zijn.

[Reactie gewijzigd door Ergomane op 17 januari 2013 14:18]

Ik had in de diff gekeken.
Als je ook voor user 1 nergens een formulier met fieldsets, draggable tabellen (D6) of vertical tabs hebt of een andere module die window.location.hash in $() smijt, dan heb je inderdaad niets te vrezen.
Niet alle webservers hebben toegang tot de command-line ;-) Ik ging nog uit van het meest ongunstigste geval ;-)
Als je dan een aantal websites moet updaten zou je je kunnen afvragen of je het beheer niet anders moet gaan doen.
alle webservers (zelfs die op windows) hebben toegang tot de cli - het is alleen de vraag WIE die toegang heeft,

als jij 100 sites moet beheren via drupal kun je maar beter zorgen dat je dat servers doet waar jij die toegang ook hebt ... of je moet zo'n pakket managed afnemen waardoor minor updates door de host worden gedaan...

als je op cheapass hosting zit, moet je niet drupal de schuld in de schoenen schuiven als JIJ meer tijd kwijt bent aan updates... zeker niet als je zelf geen code toevoegd.
Wat ik me al tijden afvraag: waarom levert Drupal geen 'update packages' om van de voorlaatste versie naar de laatste versie te gaan? Er zijn wel wat onofficiele initiatieven, maar die lopen altijd wat achter, en dat is bij security updates niet ideaal.
Als je patches wilt kun je die gitdank zelf maken.
Het security team ziet de voordelen van dergelijke "changed files" packages niet, alleen de nadelen (meer werk voor het team, geen mogelijkheid tot het verwijderen van bestanden).

Wat is volgens jou het voordeel?

Je kunt overigens een voorstel inschieten op de drupal.org issue tracker http://drupal.org/project/issues/drupal .

Als je denkt dat zulke 'update packages' de update pickup rate verhogen, kun je je idee met onderbouwing ook op het topic "Improve security release update rate" http://drupal.org/node/1890678 kwijt.

[Reactie gewijzigd door Ergomane op 18 januari 2013 12:25]

Op dit item kan niet meer gereageerd worden.