Drupal 7 & 8 安全性更新準備

Photo by NeONBRAND on Unsplash

TL;DR: The issue is announced.

更新已經發佈

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

For Drupal 6 user, there is also a patch to this issue

如果仍然有 6.x 網站的使用者，請使用這個 patch

[core] Add D6LTS patch for SA-CORE-2018-002

今天 Drupal 官方發出公告，將於 3/28 有重大安全性更新

Drupal 7 and 8 core critical release on March 28th, 2018 PSA-2018-001

將於下週三晚間 18:00–19:30 UTC（台灣時間凌晨 2:00 — 3:30）之間發佈安全性更新，影響對象包括： Drupal 7.x, 8.3.x, 8.4.x, and 8.5.x。

由於漏洞攻擊工具可能在數小時至數天內產生，官方安全性團隊強烈建議保留時間進行更新。屆時安全性更新公告將會發佈在 Drupal.org 安全性建議頁面。

Drupal 8.3.x 與 8.4.x 基於不針對小版號更新原則，已經不再提供維護支援，但有鑑於此安全性仍然具有重大影響性，因此官方將為未能升級至 8.5.0 的網站提供 8.3.x 與 8.4.x 的安全性修正。

各版本的更新指引如下：

• Drupal 8.3.x, 8.4.x 的版本應於安全性發佈的同時，立即更新至該版號的最新版，並建議於未來一個月內升級到 8.5.x。
• Drupal 7.x, 8.5.x 版本，應於安全性發佈的同時，依照標準升級步驟升級到最新版。

目前官方安全性團隊不會說明有關弱點的訊息，安全性更新的當天將會有詳細的新聞稿發佈。