Drupal 7.80 / 8.9.14 / 9.0.12 / 9.1.7

Drupal logo (79 pix) Er zijn updates uitgekomen voor Drupal versies 7, 8.9, 9.0 en 9.1. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een developmentframework. De updates bevatten een oplossing voor een cross-site scripting beveiligingsprobleem:

Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002
Project: Drupal core
Date: 2021-April-21
Security risk: Critical 15∕25 AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Vulnerability: Cross-site scripting
Description: Drupal core's sanitization API fails to properly filter cross-site scripting under certain circumstances. Not all sites and users are affected, but configuration changes to prevent the exploit might be impractical and will vary between sites. Therefore, we recommend all sites update to this release as soon as possible.

Solution: Install the latest version:

If you are using Drupal 9.1, update to Drupal 9.1.7.

If you are using Drupal 9.0, update to Drupal 9.0.12.

If you are using Drupal 8.9, update to Drupal 8.9.14.

If you are using Drupal 7, update to Drupal 7.80.

Versions of Drupal 8 prior to 8.9.x are end-of-life and do not receive security coverage.

Drupal 8.6.0 Umami food magazine demo (620 pix)

Lees meer

Reacties (11)

Power2All 22 april 2021 10:53

Schijt product.
Standaard moet je de core patchen in Drupal 8+, omdat er een bug in zit die NOG STEEDS niet verholpen is. Echt, snap niet waarom bedrijven kiezen voor een product dat nog zo onstabiel is en developers koppijn bezorgen, heb er 3 jaar mee moeten stoeien...
(Uitleg omtrent de bug, er zit een verkeerde manier van een array uitlezen in, die nog wel eens een NULL kan veroorzaken, en dan schijt Drupal hard als dat gebeurd. Dit gebeurd o.a. met de standaard plugin die ze aanraden voor het betalings platform wat je kan toevoegen.)

Al bij al, als je een ervaren Drupal dev bent, kan ik begrijpen dat je om deze dingen heen kan werken, maar als starter is het een drama pakket.

[Reactie gewijzigd door Power2All op 23 juli 2024 13:09]

demon326 @Power2All • 22 april 2021 11:41

Ik werk al sinds drupal 7 met drupal en ik kan zeker begrijpen dat het af en toe serieus tegen steekt, maar om het nu een drama pakket te noemen... Dat gaat wet ver..

Sinds drupal 8 kan je met composer automatisch patches toevoegen tijdens een update en dat werkt perfect bij zo'n 'kleine' issues waar geen devtijd in zal kruipen.

1) voer composer require cweagans/composer-patches uit
2) pas je composer.json aan met de volgende syntax:
[code]
"extra": {
"enable-patching": true,
"patches": {
"drupal/core": {
"<patch1 information>": "https://www.drupal.org/files/issues/2020-11-17/3060968-25.patch",
"<patch2 information>": "<patch2 file path>"
}
}
}
[/code]

Vanaf heden wordt je patch na de core update automatisch toegepast. Je dient hiervoor wel SSH toegang te hebben. Of je doet het eerst lokaal en upload dan de files.

Power2All @demon326 • 22 april 2021 11:43

Als de "core" al problemen veroorzaakt sinds het begin van 8.x en nog steeds in de 9.x variant zit, terwijl er al tig keren gewezen wordt op een patch, en deze maar niet doorgevoerd wordt, waardoor het onmogelijk gemaakt wordt om "officiele" pakketten te installeren, die Drupal zelf aanraadt, dan mag ik het gerust een drama pakket noemen lijkt me. Zelfs een bedrijf (die al 15+ jaar ervaring heeft met Drupal) die met mij destijds gekeken had, stond verbaasd hoe stom en knullig het is om een kleine patch door te moeten zetten, om uberhaupt bepaalde pakketten te kunnen installeren die deze json functie toepast.

Daarnaast, er horen geen core patches doorgevoerd te worden, dit hoort sowieso al opgelost te zijn by default. Wat je nu ook meldt met composer, is gewoon een bypass, zoals ik zeg, voor de meeste ervaren Drupal developers prima, maar als starter zullen die echt hun hoofd krabben...

Ben destijds gestopt met het pakket, en werk nu met Laravel maar gewoon weer, en ben ook bezig met pure Symfony API's te maken (in combinatie met GO), werkt uiteindelijk beter dan Drupal. Drupal is leuk voor de mensen die uitgebreid willen werken, maar ik zie helaas enkel nadelen met Drupal op dit moment.

Mijn reactie is puur uit de 3 jaar ervaring die ik opgedaan heb met Drupal, dus neem deze informatie puur als een persoonlijke mening over Drupal zelf

Heb tevens ook een tijdje met OctoberCMS gewerkt, maar die is nu van Open Source naar pay-per-project gegaan jammer genoeg. Ben nu weer lekker bezig met puur Laravel/Symfony en met GO, want je blijft ping-pongen tussen frameworks anders

[Reactie gewijzigd door Power2All op 23 juli 2024 13:09]

Wim Leers @Power2All • 22 april 2021 12:40

Als het een probleem was die iedereen treft, dan zou het al lang opgelost zijn. Zeker voor zo een triviale bug als je nu beschrijft.

De kans is dan ook heel groot dat het veel genuanceerder is dan dat je hier doet uitschijnen.

Zou je een linkje naar deze bug kunnen delen? Ik ben wel benieuwd nu 😊

Power2All @Wim Leers • 22 april 2021 12:55

Heeft te maken met de routing in Drupal.
Het gaat om de Routes.php bestand:

web/core/modules/jsonapi/src/Routing/Routes.php

Specifiek om de functies:
* hasNonInternalTargetResourceTypes
* hasNonInternalFileTargetResourceTypes
Deze moet je patchen, wil je gebruik willen maken van de "commerce" modules.

Aangezien ik al een aantal maanden niks meer met Drupal doe, heb ik geen idee of dit nog uberhaupt gepatched is door de core developers, maar wellicht zijn dit wat pointers

[Reactie gewijzigd door Power2All op 23 juli 2024 13:09]

Blamm @Power2All • 22 april 2021 13:12

Heb je een linkje naar de patch / het issue? Ben wel benieuwd nu of wij die ook patchen

Power2All @Blamm • 22 april 2021 13:16

Heb je een linkje naar de patch / het issue? Ben wel benieuwd nu of wij die ook patchen

Denk dat het voor de laatste branches wel nu is toegepast, al weet ik dat ook niet heel erg zeker.
Ik volgde destijds deze: https://www.drupal.org/project/drupal/issues/2996114
Als ik het zo lees, lijkt het nu eindelijk opgelost te zijn, maar daar heb ik nu dus niks meer aan zelf

Probleem was geconstateerd in 2018, dus al een ontiegelijke oude bug, en die is sinds een aantal maanden geleden (juist toen ik ermee /fliptable deed) zo te lezen eindelijk gepushed.

[edit] Hij was gesloten omdat er geen activiteit meer op de issue was. De vraag is dus nog echter of het probleem er nog steeds in zit. Aangezien ik bij het bedrijf weg ben wat Drupal gebruikte, en ik daar totaal niks meer iets mee ga doen, kan ik ook niet zeggen of het probleem er nog steeds in bevind.

[Reactie gewijzigd door Power2All op 23 juli 2024 13:09]

J3ll3nl 22 april 2021 18:15

@Power2All ik bedoelde idd jou. Bedankt voor je toelochtinf

sorry @demon326

Duidelijk. Dan verschillen onze meningen daarover en dan vind ik het vooral jammer dat je jouw emotie uit als feit.

Daarnaast deel ik de ervaring met de documentatie ook. Net als bij vele andere libraries en frameworks dat ook het geval is.
Wat betreft de patches icm de door jouw genoemde core en modules deel ik jouw observatie niet. Maar ik kan me voorstellen dat het niet deed wat jij verwachtte en dat daarvoor de nog steeds niet geaccepteerde patch nodig was.

J3ll3nl 22 april 2021 13:02

Ik vind het opvallend dat Tweakers nog "Downloads" meeneemt in de feeds.
Als Drupal developer ben ik overigens wel getriggerd door dit item in de nieuwsfeed.

Opvallend vind ik het dan wel als mensen dan hun ongenuanceerde mening hier ook nog eens gaan delen.
De negativiteit van @Power2All vind ik compleet onnodig.
Feit: Drupal is een groot product met veel gebruikers en developers. Ieder framework heeft zijn nadelen en legacy en die Drupal heeft dat met zijn lange geschiedenis ook. wat @Wim Leers al aangeeft. Er zal een goede reden zijn dat een patch nog niet in core zit. En dit is een klein detail op een megaproject wat het niet per direct een "schijtproduct" maakt.

[Reactie gewijzigd door J3ll3nl op 23 juli 2024 13:09]

Power2All @J3ll3nl • 22 april 2021 13:10

Volgens mij doel je op mij, en niet demon326.
Maar goed, het is negatief, omdat na 3 jaar erin geknutseld te hebben, het nog steeds patches nodig had. Voorheen, toen 8.x nog net uit was, moest je meer dan 3 patches toepassen om het uberhaupt te laten functioneren zoals gewenst.
Dat is nu naar 1 patch, voor routing, maar wel een cruciale punt om andere modules te kunnen laten functioneren. Het "schijt product" reactie van mij, is meer een "emotionele" reactie dan een daadwerkelijke technische antwoord wat het is. Ik ben iemand die gewoon zegt zoals ik het denk, dat met een app werkt, die als dusdanig "stabiel" verklaart wordt, maar nog de meest cruciale patches mist, om deze "tag" uberhaupt te mogen hebben.
DAT maakt het een schijt product voor mijn gevoel.

Daarnaast, de documentatie van Drupal is in vergelijking met andere frameworks, nou niet bepaald "handig". Integendeel, het zit zo schots en scheef in elkaar dat je vaak met de documentatie met meer vragen komt, dan antwoorden.

[Reactie gewijzigd door Power2All op 23 juli 2024 13:09]

Op dit item kan niet meer gereageerd worden.

Versienummer	7.80 / 8.9.14 / 9.0.12 / 9.1.7
Releasestatus	Final
Besturingssystemen	Scripttaal
Website	Drupal
Download	https://ftp.drupal.org/files/projects/drupal-9.1.7.tar.gz
Licentietype	GPL

04-'23	Drupal 7.96 /9.4.14 / 9.5.8 / 10.0.8	0
03-'23	Drupal 7.95 / 9.4.12 / 9.5.5 / 10.0.5	0
12-'22	Drupal 9.5.0	0
12-'22	Drupal 10.0.0	0
08-'22	Drupal 9.4.5	0
06-'22	Drupal 9.4.0	0
05-'22	Drupal 9.2.20 / 9.3.14	31
03-'22	Drupal 9.2.16 / 9.3.9	5
03-'22	Drupal 9.3.7	0
02-'22	Drupal 9.3.6	2

Software-update: Drupal 7.80 / 8.9.14 / 9.0.12 / 9.1.7

Update-historie

Lees meer

Reacties (11)

Sorteer op:

Weergave: