Software-update: Drupal 8.9.16 / 9.0.14 / 9.1.9

Drupal logo (79 pix)Er zijn updates uitgekomen voor Drupal versies 8.9, 9.0 en 9.1. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een developmentframework. De updates bevatten een oplossing voor een cross-site scripting beveiligingsprobleem:

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003

Project: Drupal core
Date: 2021-May-26
Security risk: Moderately critical 14∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
Vulnerability: Cross Site Scripting
Description: Drupal core uses the third-party CKEditor library. This library has an error in parsing HTML that could lead to an XSS attack. CKEditor 4.16.1 and later include the fix.

Users of the CKEditor library via means other than Drupal core should update their 3rd party code (e.g. the WYSIWYG module for Drupal 7). The Drupal Security Team policy is not to alert for issues affecting 3rd party libraries unless those are shipped with Drupal core. See DRUPAL-SA-PSA-2016-004 for more details.

This issue is mitigated by the fact that it only affects sites with CKEditor enabled.

Solution: Install the latest version:

Versions of Drupal 8 prior to 8.9.x are end-of-life and do not receive security coverage.

Drupal 8.6.0 Umami food magazine demo (620 pix)

Versienummer 8.9.16 / 9.0.14 / 9.1.9
Releasestatus Final
Besturingssystemen Scripttaal
Website Drupal
Download https://ftp.drupal.org/files/projects/drupal-9.1.9.tar.gz
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 27-05-2021 06:06
10 • submitter: Zidane007nl

27-05-2021 • 06:06

10

Submitter: Zidane007nl

Bron: Drupal

Update-historie

04-'23 Drupal 7.96 /9.4.14 / 9.5.8 / 10.0.8 0
03-'23 Drupal 7.95 / 9.4.12 / 9.5.5 / 10.0.5 0
12-'22 Drupal 9.5.0 0
12-'22 Drupal 10.0.0 0
08-'22 Drupal 9.4.5 0
06-'22 Drupal 9.4.0 0
05-'22 Drupal 9.2.20 / 9.3.14 31
03-'22 Drupal 9.2.16 / 9.3.9 5
03-'22 Drupal 9.3.7 0
02-'22 Drupal 9.3.6 2
Meer historie

Lees meer

Drupal

geen prijs bekend

5 van 5 sterren
Systeem- en netwerkutility's

Reacties (10)

-Moderatie-faq
10
10
5
2
0
4
Wijzig sortering
SvenHe 27 mei 2021 07:02
Het kostte me wat moeite om terug te vinden waar je ckeditor beschikbaar maakt voor je bezoekers maar dat is "jouwsite.nu/admin/config/content/formats¨

Dan kan je het even uitzetten voor bezoekers...

[Reactie gewijzigd door SvenHe op 25 juli 2024 01:23]

Zidane007nl
@SvenHe27 mei 2021 09:52
Waarom zou je ckeditor aanzetten voor niet ingelogde gebruikers?
SvenHe @Zidane007nl27 mei 2021 11:17
Doe ik niet maar ik wilde het wel controleren....
brommer @Zidane007nl27 mei 2021 16:09
Dat komt niet veel voor maar in sommige gevallen is het nuttig en nodig. Zo hebben wij vorige week een website aangepast waar bezoekers vacatures kunnen indienen. We kregen de vraag om beperkte markup toe te laten (genummerde, ongenummerde lijst, links en vet en italic tekst). Ook bij comments wordt CKEditor soms aangezet.
KVdE 27 mei 2021 09:25
Dit is het jammere aan een groot CMF zoals Drupal e.a.: Je kan niet zomaar dependencies updaten, ook al gebruikt Drupal zelf Composer.

Dat je een security release moet taggen omdat een dependency insecure is, is best lullig.
Kristof Vxx @KVdE27 mei 2021 12:13
Klopt, en als je dan nog eens moet wachten tot 4u 's nachts, terwijl was aangekondigd dat het rond 20u zou zijn, vind ik ook vervelend.
Ik vind deze update nu ook niet zo'n groot security issue om er een aparte release van te maken omdat, zoals hierboven gezegd, je eigenlijk ckeditor best niet activeert voor anonieme bezoekers.
Zidane007nl
@Kristof Vxx27 mei 2021 12:34
Op Slack (#security-questions) zag ik om 21:45 uur de bekendmaking voorbij komen. Ze hadden ook al aangegeven dat er een vertraging is.
De email kreeg ik pas om 04:51 uur.
Jan-E @Zidane007nl27 mei 2021 15:59
Er was eerst een "[Security-news] Off Cycle Drupal Core Security Release - PSA-2021-05-25" om 20:07. Daarna volgde de mail inderdaad om 4:51.

Vreemde is dat ik nog geen update gezien heb voor Drupal 7, dat nog supported is tot 28 november. In de mail van 4:51 stond wel dit:
Users of the CKEditor library via means other than Drupal core should update their 3rd party code (e.g. the WYSIWYG module for Drupal 7).
Maar die module heeft nog geen update gekregen: https://www.drupal.org/project/ckeditor
Ze zijn er wel mee bezig: https://www.drupal.org/project/ckeditor/issues/3216026

[Reactie gewijzigd door Jan-E op 25 juli 2024 01:23]

Zidane007nl
@Jan-E27 mei 2021 22:29
Waarom is daar een update voor nodig van de ckeditor module? Je kan in de CKEditor Global profile het pad naar CKEditor aanpassen. Ik gebruik de CDN (//cdn.ckeditor.com/4.16.1/full-all).
Vreemde is dat ik nog geen update gezien heb voor Drupal 7, dat nog supported is tot 28 november.
Tot 28 november 2022. Zie https://www.drupal.org/psa-2020-06-24.

[Reactie gewijzigd door Zidane007nl op 25 juli 2024 01:23]

Jan-E @Zidane007nl28 mei 2021 14:02
Waarom is daar een update voor nodig van de ckeditor module? Je kan in de CKEditor Global profile het pad naar CKEditor aanpassen. Ik gebruik de CDN (//cdn.ckeditor.com/4.16.1/full-all).
Ik wil geen calls naar 'buiten' en al zeker niet voor de editor, omdat op onze sites met zeer gevoelige informatie wordt omgegaan. Bij het installeren van de CKEditor module wordt de editor dus gedownload naar sites/all/libraries/ckeditor en daar blijft hij ongewijzigd staan tot er een update wordt geinstalleerd.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq