跳转到主要内容

Drupal 7.39 和 Drupal 6.37 发布

Drupal中国公告:2015年8月20日 上午 4:45 (美国东部时间) 在Drupal官网发布公告, Drupal 7.39Drupal 6.37 发布。

此版本修复了多个容易受到攻击的安全问题,强烈推荐各位站长阅读完此通知后及时更新此版本。

修改日志:

Drupal 7.39 相对于 7.38 的更新:

  • Ajax系统现在在产生Ajax请求之前会先验证URL。本次更新不影响那些采用标准方式调用Drupal Ajax API的已有代码继续运行。如果你采用非常规的Ajax代码导致其在drupal 7.39无法正常工作,你可以采用两种方式通过代码验证你的URL。第一种,为URL增加javascript,设置“urlIsAjaxTrusted”属性(详细例子见ajax_pre_render_element()),另一种可以通过Ajax的回调函数调用ajax_set_verification_header()来设置当前URL为可信的。这样做是为了确保Drupal今后只对可信任的URL产生Ajax请求,而不会对非信任的URL产生请求。
  • 出于安全因素的考虑,自动完成系统如今只对非简洁URL产生Ajax请求,虽然那些使用简洁URL的自定义代码也受到保护。对于 autocomplete-enabled 文本字段,有一个新的form API #process 函数,这个是autocomplete 功能正常工作所必须的。如果自定义模块的文本字段被警告,请确认这个#process函数没有被覆写(使用element_info_property() 来帮助解决这个问题)。安全修改部分还包括改变了theme_textfield();推荐哪些覆写了这个主题函数的站点也做出相应的改变。(查看this diff  中的 “the theme_textfield”部分了解详情)
  • 当表单API验证失败(例如,当一个伪装的跨站请求被检测到,或用户在登出同时尝试通过发送表单来再次登入),现在表单API忽略那些请求元素值的回调,除了由drupal核心提供的选择列表的回调,因为已知它是安全的。在极少数情况下,这可能在用户发送表单和接收到一个验证错误信息时导致数据丢失,但基本不影响整体效果。

备注:以上3点由Drupal中国群雪崩翻译,龙马校对。感谢雪崩帮助翻译。)

安全漏洞:

Drupal 7.39 和 6.37 均是修复安全漏洞,更多细节可以到官方的安全公告查看:

官网强烈建议升级您的Drupal站点至 Drupal 7.39 或 Drupal 6.37。

已知问题:

无。

下载Drupal:

文章分类