drupal 10.0.11发布,此版本修复了缓存中毒漏洞,官方强烈建议立即更新

一、下载地址:

https://ftp.drupal.org/files/projects/drupal-10.0.11.tar.gz

二、发布说明

这是Drupal 10系列的一个安全版本。

此版本修复了安全漏洞(缓存中毒漏洞)。官方强烈建议立即更新,以下是更新的漏洞:

Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞 ( https://www.drupal.org/sa-core-2023-006)

三、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞描述

在某些情况下,Drupal的JSON:API模块将输出错误回溯。对于某些配置,这可能会导致敏感信息被缓存并提供给匿名用户,从而导致权限提升。

此漏洞仅影响启用了JSON:API模块的站点,可以通过卸载JSON:API来缓解。

核心REST和贡献的GraphQL模块不受影响。

Drupal Steward的合作伙伴已经意识到了这个问题。一些平台可能会提供缓解措施。然而,并不是所有的WAF配置都能缓解这个问题,因此如果您的网站使用JSON:API,仍然建议立即更新到此安全版本。

四、Drupal core - Critical - Cache poisoning - SA-CORE-2023-006 缓存中毒漏洞修复

1、如果您正在使用Drupal 10.1,请更新到Drupal 10.1.4。

2、如果您正在使用Drupal 10.0,请更新到Drupal 10.0.11。

3、如果您正在使用Drupal 9.5,请更新到Drupal 9.5.11。

4、Drupal 9.5之前的所有版本都已报废,不接受安全保障。注意,Drupal 8已经到了生命的尽头。

5、Drupal 7不受影响。

五、我应该选择哪个版本?安全覆盖范围信息

1、Drupal 10.0.x将获得安全保障,直到2023年12月Drupal 10.2.0发布。

2、Drupal9.5.x上的站点应该立即更新到Drupal 9.5.11,而不是本版本,但应在2023年11月前更新到Drupal 10

3、9.5.x之前的Drupal 9版本已经失效,不接受安全更新。

4、Drupal 8已停止更新,不接受安全保障。