Drupal 9.0.6 现已发布,这是一个 Drupal 9 系列的维护和安全性发布。Drupal 9.0.x 系列在 2021 年 6 月 2 日 Drupal 9.2.0 发布之前都会获得安全保护。
Drupal 是一个开源的内容管理系统(CMS) 平台,主要用于构造提供多种功能和服务的动态网站,这些功能包括用户管理(UserAdministration)、发布工作流(Publishing Workflow)、讨论、新闻聚合(NewsAggregation)、元数据(Metadata)操作和用于内容共享的 XML 发布。
此版本修复了安全漏洞。阅读以下注意事项和安全公告后,建议网站立即升级:
- Drupal 核心-中等关键-跨站点脚本-SA-CORE-2020-007
- Drupal 核心-中等关键-访问旁路-SA-CORE-2020-008
- Drupal 核心-关键-跨站点脚本-SA-CORE-2020-009
- Drupal 核心-中等关键-跨站点脚本-SA-CORE-2020-010
- Drupal 核心-中度关键-信息公开-SA-CORE-2020-011
重要更新信息
- 一旦将运行 Workspaces 的站点升级为 SA-CORE-2020-008,经过身份验证的用户可能会继续看到他们先前访问的未经授权的工作区内容,直到注销为止。
如果必须立即停止意外访问,你可能希望结束在网站上所有活跃的用户会话(例如,通过截断会话表)。请注意,这样做会立即将所有用户注销,并可能导致用户输入丢失等副作用。
- 在 contrib 和/或自定义代码中覆盖
\Drupal\Core\Form\FormBuilder的renderPlaceholderFormAction()和/或buildFormAction()方法的网站应确保为 SA-CORE-2020-009 的 URL 进行适当的清理。 - 任何依赖 Drupal 的 AJAX API 来执行受信任的 JSONP 请求的站点都将需要覆盖 AJAX 选项来设置
"jsonp: true"或者直接使用 jQuery AJAX API。
如果你在 contrib 或自定义模块中使用 jQuery 的 AJAX API 来处理用户提供的 URL,你应该检查你的代码,并在合适的地方设置"jsonp: false"。
- 在这个版本中,没有对 .htaccess、web.config、robots.txt 或默认设置 .php 文件进行任何修改,所以如果你的网站已经使用了以前的版本,就没有必要升级这些文件的自定义版本。