Drupal 8.9.20 / 9.1.14 / 9.2.9

Drupal logo (79 pix) Er zijn updates uitgekomen voor Drupal versies 8.9, 9.1 en 9.2. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een developmentframework. De updates bevatten een oplossing voor een vijftal beveiligingsproblemen.

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011

Project: Drupal core

Date: 2021-November-17

Security risk: Moderately critical 13∕25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default

Vulnerability: Cross Site Scripting

Description: The Drupal project uses the CKEditor library for WYSIWYG editing. CKEditor has released a security update that impacts Drupal, along with a hotfix for that update.

Vulnerabilities are possible if Drupal is configured to allow use of the CKEditor library for WYSIWYG editing. An attacker that can create or edit content (even without access to CKEditor themselves) may be able to exploit one or more Cross-Site Scripting (XSS) vulnerabilities to target users with access to the WYSIWYG CKEditor, including site admins with privileged access. For more information, see CKEditor's security advisories:

CVE-2021-41165: HTML comments vulnerability allowing to execute JavaScript code

CVE-2021-41164: Advanced Content Filter (ACF) vulnerability allowing to execute JavaScript code using malformed HTML

This advisory is not covered by Drupal Steward.

Solution: Install the latest version:

If you are using Drupal 9.2, update to Drupal 9.2.9.

If you are using Drupal 9.1, update to Drupal 9.1.14.

If you are using Drupal 8.9, update to Drupal 8.9.20.

Versions of Drupal prior to 9.1.x are end-of-life and do not receive security coverage.

Drupal 8.6.0 Umami food magazine demo (620 pix)

Lees meer

Reacties (11)

demon326 19 november 2021 13:36

Van drupal 7 naar 8 gaan is echt een ware hell, net zoals je van 6 naar 7 ging. Dit hebben ze gelukkig achterwegen gelaten en van 8 naar 9 is kinderspel t.o.v. oudere versies. Hetzelfde voor 9 naar 10.

Daarnaast hebben ze op drupal.org een script lopen dat automatisch test of een module klaar is voor de volgende major release en indien niet, probeert dat script een patch te maken waarop de module author dan weer kan verder werken of gewoonweg aan de code van het project toevoegen.

Voor drupal 8 en hoger kan je best wel even de tijd nemen om met composer te leren werken

Oceria @demon326 • 19 november 2021 19:36

Ik vind composer anders ook een drama om mee te werken. Dat hele gedonder was voor mij uiteindelijk de reden om over te gaan op Wordpress, ook al is dat systeem zeker ook niet optimaal geschikt voor mijn wensen

demon326 @Oceria • 19 november 2021 20:35

Composer vond ik in het begin ook dramatisch om mee te werken.. maar het maakt alles zo veel eenvoudiger als het eenmaal werkt.

Stel: Een module heeft externe libraries nodig, bij drupal 7 moest je deze handmatig downloaden en op de juiste plek zetten. Met composer is dit niet meer nodig, die regelt dat allemaal voor jou. Het enige dat jij nog moet doen is de module aanzetten.

Maar natuurlijk moet je er wel de tijd voor vrij maken om het allemaal te leren begrijpen

Oceria @demon326 • 19 november 2021 22:00

Er mee leren werken maakt het niet eenvoudiger: installeer Wordpress en het auto updates out of the box.
installeer composer, daarna Drush, en daarna Drupal en je kunt het hele systeem updaten op de command line. Niet gemakkelijker. Als Drupal 10 met auto updates komt voor de ]kern, zal ik weer overgaan op Drupal

ejabberd @Oceria • 20 november 2021 05:53

In het begin is het wat zoeken/lezen om alles goed in te stellen maar daarna zie ik niet in wat er moeilijk zou zijn aan "composer update" en indien nodig een update van de databasetabellen met drush.

Daarnaast, en dat vind ik niet onbelangrijk, geeft het mij een veel veiliger gevoel als een webapplicatie geen code aan boord heeft om cruciale bestanden te vervangen door andere versies. Geef mij maar een aparte toepassing die enkel werkt via mijn strikt beveiligde ssh terminal.

Als Drupal ooit zulke auto-updatecode krijgt, dan wil ik die module volledig kunnen verwijderen.

Oceria @ejabberd • 20 november 2021 15:39

Ik denk dat onze wensen en gebruik heel verschillend is: ik heb behoefte aan een set it and forget it systeem, Drupal vereist meer actieve gebruikers zoals jij

. Drupal kan mij dus momenteel niet bieden wat ik zoek. Dat is alles

Strebor

@demon326 • 19 november 2021 14:15

Ik kan bovenstaande 200% beamen. Drupal 7 is echt een dood spoor. Gelukkig blijft het voorlopig, wat betreft security updates, bijgehouden worden. Ik ben dan ook heel blij dat alle Drupal 7 projecten die ik beheer voor Drupal 7's EOL datum worden vervangen met nieuwe (niet Drupal) sites.

prodesk @Strebor • 19 november 2021 14:36

Tegenwoordig is Drupal gebruiken denk ik ook niet meer echt van deze tijd.

brigges @prodesk • 19 november 2021 15:28

En waarom is dat zo?

Elk CMS heeft zijn voors en tegens. Drupal heeft ook zijn voor en tegens.
Maar dat maakt het nog niet antiek....

brobro 19 november 2021 13:26

Weet iemand hoe het nu gaat met de update beloftes van drupal? Van 8 naar 9 zou soepel moeten gaan. Is het idee dat het nu meer een soort rolling release blijft?

Ik weet dat jaren geleden het altijd een enorm gedoe was. Migratie van meer dan een hele basale site van versie 6 naar 7 of 7 naar 8 betekende de facto dat je een hele nieuwe site ging ontwikkelen omdat dat waarschijnlijk minder werk was.

De belofte van support was ook onduidelijk omdat in praktijk ondersteuning voortdurend verlengd werd, waarschijnlijk omdat duizenden sites moeite hadden met migratie. Plugins bleven ook lang achter op eerdere versies, etc.

Ik weet dat veel verbeterd is, een aantal belangrijke modules in core bijvoorbeeld. Maar deze twijfel weerhoudt mij wel om drupal weer te willen verkennen.

Wim Leers @brobro • 19 november 2021 13:41

@demon326 heeft hieronder een uitstekend antwoord op je terechte bezorgdheid gepost! 😊

Op dit item kan niet meer gereageerd worden.

Versienummer	8.9.20 / 9.1.14 / 9.2.9
Releasestatus	Final
Besturingssystemen	Scripttaal
Website	Drupal
Download	https://ftp.drupal.org/files/projects/drupal-9.2.9.tar.gz
Bestandsgrootte	18,00MB
Licentietype	Voorwaarden (GNU/BSD/etc.)

04-'23	Drupal 7.96 /9.4.14 / 9.5.8 / 10.0.8	0
03-'23	Drupal 7.95 / 9.4.12 / 9.5.5 / 10.0.5	0
12-'22	Drupal 9.5.0	0
12-'22	Drupal 10.0.0	0
08-'22	Drupal 9.4.5	0
06-'22	Drupal 9.4.0	0
05-'22	Drupal 9.2.20 / 9.3.14	31
03-'22	Drupal 9.2.16 / 9.3.9	5
03-'22	Drupal 9.3.7	0
02-'22	Drupal 9.3.6	2

Software-update: Drupal 8.9.20 / 9.1.14 / 9.2.9

Update-historie

Lees meer

Reacties (11)

Sorteer op:

Weergave: