Drupal Core - Σημαντική αναβάθμιση ασφαλείας - jQuery.extend()

Νέα αναβάθμιση ασφαλείας για το Drupal με σκοπό την επίλυση προβλημάτων στη συνάρτηση $.extend της jQuery. Δείτε στη συνέχεια του άρθρου περισσότερες λεπτομέρειες.

Project: Drupal core

Ημερομηνία: 18 Απριλίου 2019

Ευπάθεια: Απομακρυσμένη εκτέλεση κώδικα

Περιγραφή: Με τη νέα έκδοση jQuery 3.4.0 η κοινότητα της jQuery αποκάλυψε μια ευπάθεια ασφαλείας των προηγούμενων εκδόσεων της διάσημης βιβλιοθήκης. Αυτή η ευπάθεια σχετίζεται με ανεπιθύμητη συμπεριφορά της συνάρτησης jQuery.extend(), η οποία επέτρεπε να επηρεαστεί η πρωτότυπη κλάση της jQuery και να εκτελεστεί απομακρυσμένος κώδικας (Cross Site Scripting).

Λαμβάνοντας υπόψη τα παραπάνω, είναι πιθανό συγκεκριμένα πρόσθετα (modules) να μπορούν να χρησιμοποιηθούν για κακόβουλες ενέργειες σε συνδυασμό με τη συγκεκριμένη ευπάθεια.  Για λόγους ασφαλείας αυτή η αναβάθμιση του Drupal εισάγει διορθώσεις για τη συνάρτηση jQuery.extend(), χωρίς να χρειάζεται να γίνουν περαιτέρω αλλαγές στις εκδόσεις jQuery που εμπεριέχονται στο Drupal (3.2.1 για το Drupal 8 και 1.4.4 για το Drupal 7) ή τρέχουν στον ιστότοπό σας μέσω άλλων μηχανισμών όπως το jQuery Update module.

Λύση:
Αναβάθμιση στις τελευταίες εκδόσεις:

Αν χρησιμοποιείτε Drupal 8.6 αναβαθμίστε στο Drupal 8.6.15.
Αν χρησιμοποιείτε Drupal 8.5 ή κάποια προηγούμενη έκδοση, αναβαθμίστε στο Drupal 8.5.15.
Αν χρησιμοποιείτε Drupal 7, αναβαθμίστε στο Drupal 7.66. 
 
Εκδόσεις Drupal 8 που προηγούνται της έκδοσης 8.5.x δεν υποστηρίζονται με αναβαθμίσεις ασφαλείας.