Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 11, views: 6.797 •
Bron: Drupal, submitter: Zidane007nl

Drupal logoDrupal versie 7.23 is kort geleden uitgebracht. Drupal is een in php geschreven gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Sinds versie 7.0 is er een vernieuwde interface, die eenvoudiger en intuïtiever zou zijn. Er kunnen verder extra velden, gebruikers, termen, url's, afbeeldingen, lijsten met opties en nog meer aan content worden toegevoegd. Ook is een automatische test aan het framework toegevoegd om bugs in de code te kunnen opsporen. Ten slotte is de databaselayer volledig herschreven, wat veel beperkingen van de databaselayer in Drupal 6 oplost. De release notes voor versie 7.23 kunnen hieronder worden gevonden.

Release notes

Maintenance release of the Drupal 7 series. Includes bug fixes and small API/feature improvements only (no major new functionality); significant new features are only being added to the forthcoming Drupal 8.0 release.

No security fixes are included in this release.

As with any release, sites should run update.php after updating the code, but for this release it is particularly important to do so due to database changes in the Image module. In addition, sites which perform updates using Drush (rather than via the user interface) may need to run an explicit cache clear after the updates have run to avoid Image module errors.

Besides documentation fixes, no changes have been made to the robots.txt or default settings.php files in this release, so upgrading custom versions of those files is not necessary.

There are two changes to the .htaccess file in this release:

  1. A change to add support for HTTP authorization in CGI environments (see #670454).
  2. A fix for a regression in Drupal 7.22 that caused internal server errors for sites running on very old Apache 1.x web servers (see #1962780).

There is also one change to the web.config file for IIS servers in this release:

  1. A change to allow favicon.ico files which are present in the filesystem to be accessed (see #1041580).

Upgrading custom versions of the .htaccess and web.config files is recommended but not required.

Known issues:

None.

Major changes since 7.22:

  • Added human-readable labels to image styles, in addition to the existing machine-readable name (API change: https://drupal.org/node/2058503).
  • Fixed the default ordering of CSS files for sites using right-to-left languages, to consistently place the right-to-left override file immediately after the CSS it is overriding (API change: https://drupal.org/node/2058463).
  • Fixed a fatal error on PostgreSQL databases when updating the Taxonomy module from Drupal 6 to Drupal 7.
  • Added a drupal_check_memory_limit() API function to allow the memory limit to be checked consistently (API addition).
  • Changed the default web.config file for IIS servers to allow favicon.ico files which are present in the filesystem to be accessed.
  • Fixed inconsistent support for the 'tel' protocol in Drupal's URL filtering functions.
  • Performance improvement: Allowed all hooks to be included in the module_implements() cache, even those that are only invoked on HTTP POST requests.
  • Made the database system replace truncate queries with delete queries when inside a transaction, to fix issues with PostgreSQL and other databases.
  • Fixed a bug which caused nested contextual links to display improperly.
  • Fixed a bug which prevented cached image derivatives from being flushed for private files and other non-default file schemes.
  • Fixed drupal_render() to always return an empty string when there is no output, rather than sometimes returning NULL (minor API change).
  • Added protection to cache_clear_all() to ensure that non-cache tables cannot be truncated (API addition: a new isValidBin() method has been added to the default database cache implementation).
  • Changed the default .htaccess file to support HTTP authorization in CGI environments.
  • Changed the password reset form to pre-fill the username when requested via a URL query parameter, and used this in the error message that appears after a failed login attempt (minor data structure and behavior change).
  • Fixed broken support for foreign keys in the field API.
  • Fixed "No active batch" error when a user cancels their own account.
  • Added a description to the "access content overview" permission on the permissions page (string change).
  • Added a drupal_array_diff_assoc_recursive() function to allow associative arrays to be compared recursively (API addition).
  • Moved the drupal_get_hash_salt() function to bootstrap.inc and used it in additional places in the code, for added security in the case where there is no hash salt in settings.php.
  • Fixed a regression in Drupal 7.22 that caused internal server errors for sites running on very old Apache 1.x web servers.

Drupal 7 dashboard (620 pix)

Reacties (11)

Ik vraag me af of het nog verstandig is om geen development versie te draaien... tussen 7.22 en 7.23 zat een flink tijd en als ik deze niet update met een dev. versie dan was de site binnen een paar uur gehackt en/of de database leeg.

(wat is hier nu weer ongewenst aan :?)

[Reactie gewijzigd door DukeBox op 16 augustus 2013 21:27]

No security fixes are included in this release.
Waarom zou een dev versie dan minder snel gehackt worden? Of zitten er in de dev versie wel security fixes die niet in de final zitten?
Volgens mij betekenen security fixes automatisch een nieuwe release. Er kan natuurlijk wel wat tijd zitten tussen de eerste vermelding van een lek en het uitbrengen van een fix, maar in het algemeen wordt het grote publiek pas op de hoogte gesteld zodra een nieuwe stable release uitgebracht is met de betreffende security fix.

Mailing list met security announcements:
https://drupal.org/mailing-lists

Leesvoer:
https://drupal.org/security-team
https://drupal.org/node/1751076

edit: was bedoeld @pietje63

[Reactie gewijzigd door Kiphaas7 op 16 augustus 2013 16:20]

Maintenance release of the Drupal 7 series. Includes bug fixes and small API/feature improvements only (no major new functionality); significant new features are only being added to the forthcoming Drupal 8.0 release.

No security fixes are included in this release.
Spreekt dit niet je opmerking volledig tegen? Waarom zou je een dev release draaien voor security redenen als er geen security fixes zijn uitgebracht tussen 7.22 en 7.23?

[Reactie gewijzigd door Kiphaas7 op 16 augustus 2013 16:10]

Nee, het draaien van een dev versie is goed ...
This is not stable, and production sites should not run this code.
Als het een security release zou zijn dan krijg je daar een mailtje over (als je je inschrijft op de Security-news mailing list). Zo krijg ik steeds mailtjes als een module een security risico heeft.
Dan vraag ik me toch echt af wat ik fout doe op mijn hobby sitejes..
Als ik de standaard release draai gaat dat prima, krijg keurig meldingen wanneer er een update is. En opeens zijn alle sites weg en zie ik middels de log dat er weer een of andere bug misbruikt is om de sql db leeg te gooien. Het enige dat ik daar tegen heb kunnen doen is (bij het uitblijven van een patch) de development release draaien waar dit in gefixed is.
In het begin dacht ik nog van toeval.. maar in de afgelopen 2 jaar is me dat toch gaan opvallen.
Noem dan eens wat voorbeelden. Welke bugs zijn bij jou misbruikt? Nu zijn je beweringen wat losse flodders. Het is ons nog nooit gebeurd dat de databases leeggegooid zijn.

En welke logs raadpleeg je dan, als het gebeurt. De drupal logs zijn dan immers ook weg...
Idd graag wat voorbeelden, want ook hier nog nooit gebeurd, met meerdere sites op de officiele release....
Heb je er al bij stil gestaan dat het niet noodzakelijk aan Drupal ligt?

Misschien is je server wel onveilig — en dan bedoel ik je PHP, Apache, SSH versie of configuratie. Of misschien worden je sites zelfs gehackt via andere website software die je draait zoals Joomla of PhpBB.

Wat jij beschrijft is echt onmogelijk, zoals @Jan-E en @bwynants al aangeven.
En als aanvulling hierop: als je (zelf geschreven?) modules draait in drupal kunnen die ook kwetsbaar zijn...


* zwaait naar Wim Leers, een hele gave drupal core developer :)
Een recente grootschalige WordPress hack lag aan een foute mix van cPanel en Apache waarbij slechts n lekke website de hele box blootstelde. Via de exploit kon je vervolgens alle WP-sites op dezelfde box hacken.

Ik zou zeggen: Kijk eens naar je box. Na enige jaren als fulltime Drupal-developer moet ik mijn eerste gehackte website nog meemaken.

* even hout vasthouden

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013