بروزرسانی دروپال از نسخه 7.59 به نسخه 7.60

در 17 اکتبر 2018 دروپال 7.60 منتشر شد. این نسخه برچسب آپدیت اجباری به خود گرفته و کاربران تشویق به آپدیت سریع از نسخه قبلی شده اند. در این صفحه تغییرات مهم دروپال 7.60 نسبت به 7.59 و نحوه آسان بروزرسانی به نسخه 7.60 را مطرح می کنم.
من تفاوت های دو نسخه 7.59 و 7.60 را با نرم افزار Beyond Compare مقایسه کردم. تفاوت چندانی نداشت. تنها در چند فایل زیر تفاوت تأثیر گذار داشت. بقیه موارد تنها جهت نمایش نسخه جدید افزونه ها و قالب ها است.
فایل های تغییر یافته مهم:

  • includes\bootstrap.inc
  • includes\common.inc
  • modules\path\path.test
  • system\system.mail.inc

بنابر این توسعه دهندگان دروپال و طراحان سایت با سیستم مدیریت محتوای دروپال نگرانی چندانی بابت مشکل آپدیت سایت ها نداشته باشند. تنها با جایگزین کردن چهار فایل بالا از نسخه 7.60 به سایت نسخه 7.60 می توانید از مشکل هک سایت های خود از طریق تزریق کد از آدرس بار جلوگیری کنید.
توسعه دهندگان دروپال توجه داشته باشید که اگر در یکی از این فایل ها تغییراتی داده اید با مراقبت لازم تغییرات را به نسخه جدید انتقال دهید. مخصوصاً در مورد افزونه پرطرفدار  Calendar Systems باید قبل یا بعد از آپدیت تغییرات فایل common.inc را به نسخه جدید انتقال دهید.
یک فایل ضمیمه این محتوا شده است که تنها فایل های تغییر یافته 7.60 نسبت به نسخه 7.59 در یک فایل زیپ گردآوری شده است که به راحتی می توانید آن را در ریشه سایت خود اکسترکت کنید. این فایل به درد کسانی می خورد که فایل های هسته دروپال را تغییراتی داده اند. غیر از چهار فایلی که در بالا اشاره شد تنها فایلهای تغییر یافته فایل های .info موجود در افزونه و تم ها هست.
 

چرا باید از نسخه 7.59 به نسخه 7.60 ارتقا دهم؟
منبع: Drupal core - Multiple vulnerabilities - SA-CORE-2018-006
طبق اعلام سایت رسمی دروپال: دو مشکل در دروپال 7 در این نسخه برطرف شده است:
- در نسخه 7 دروپال مشکل تزریق کد (injection) از طریق آدرس url وجود دارد.
ماژول path به کاربران با مجوز "مدیریت مسیرها (administer paths)" اجازه می دهد که URL های کاربرپسند و مستعار برای محتواها ایجاد کنند. در شرایط خاصی کاربر با این مجوز می تواند مسیرهای خاصی را به عنوان مسیر مستعار معرفی کند که منجر به تغییر مسیر باز به یک URL مخرب شود. در نسخه جدید(7.60) این مسئله رفع شده است.
- همچنین در نسخه 7 دروپال اجرای کد از راه دور در دستور DefaultMailSystem::mail وجود دارد.
هنگام ارسال ایمیل برخی از متغیرها برای آرگومان ها تصفیه شده (sanitized) نیستند، که می تواند به اجرای کد از راه دور منجر شود. در نسخه جدید آرگومان های ارسالی از ایمیل بررسی می شود و آرگومان های احتمالی برای شل حذف می شود.
 
فایل های تغییر یافته
 
 

Rated 5 / 5 based on 5 reviews.