TL;DR: The issue is announced.
更新已經發佈
For Drupal 6 user, there is also a patch to this issue
如果仍然有 6.x 網站的使用者,請使用這個 patch
今天 Drupal 官方發出公告,將於 3/28 有重大安全性更新
將於下週三晚間 18:00–19:30 UTC(台灣時間凌晨 2:00 — 3:30)之間發佈安全性更新,影響對象包括: Drupal 7.x, 8.3.x, 8.4.x, and 8.5.x。
由於漏洞攻擊工具可能在數小時至數天內產生,官方安全性團隊強烈建議保留時間進行更新。屆時安全性更新公告將會發佈在 Drupal.org 安全性建議頁面。
Drupal 8.3.x 與 8.4.x 基於不針對小版號更新原則,已經不再提供維護支援,但有鑑於此安全性仍然具有重大影響性,因此官方將為未能升級至 8.5.0 的網站提供 8.3.x 與 8.4.x 的安全性修正。
各版本的更新指引如下:
- Drupal 8.3.x, 8.4.x 的版本應於安全性發佈的同時,立即更新至該版號的最新版,並建議於未來一個月內升級到 8.5.x。
- Drupal 7.x, 8.5.x 版本,應於安全性發佈的同時,依照標準升級步驟升級到最新版。
目前官方安全性團隊不會說明有關弱點的訊息,安全性更新的當天將會有詳細的新聞稿發佈。