دروپال پلتفرمی برای مدیریت محتوای سایت است و سعی آن بر این است تا امنیت را برای کاربران خود فراهم کند٬ در این راستا برای رفع آسیب پذیری های موجود در ورژن های 7.x ، 8.8.x ، 8.9.x و 9.0.x دروپال به روزرسانی های امنیتی را منتشر کرده است. در این آسیب پذیری یک مهاجم می تواند از برخی از این آسیب پذیری ها برای بدست آوردن اطلاعات حساس یا استفاده از نحوه ارائه HTML بهره برداری کند, به همین دلیل به روز رسانی دروپال از اهمیت ویژه ای برخوردار است.
قبل از هر گونه تغییر, پویاسازان به شما توصیه می کند اقدام به بکاپ گیری نمایید و پس از تهیه بکاپ اقدام به بروز رسانی نمایید.
اکثر cms های آماده مانند ورد پرس ، جوملا ، دروپال و … از زبان برنامه نویسی php بهرگرفته اند . هاست های لینوکسی به خوبی با زبان برنامه نویسی php سازگار هستند از این رو انتخاب یک هاست لینوکس می تواند یک انتخاب مناسب جهت پیاده سازی سایت های طراحی شده با cms های آماده و یا نوشته شده با کدهای phpباشد. یکی از مواردی که همیشه توصیه میشود به روز رسانی ورژن phpسایت به اخرین نسخه سازگار با سایت شما است.
در نظر داشته باشید دروپال به روزرسانی جدیدی برای ورژن ۷ ارایه نکرده است ولازم است به ورژن بالاتر ارتقا داده شود. لازم به ذکر است ورژن های دیگر به روز رسانی دارند.
علاوه بر به روزرسانی سیستم مدیریت محتوای دروپال٬ لازم است اقدامات دیگری نیز انجام دهید که به صورت مختصر در اینجا به شما اعلام خواهد شد:
برای رفع آسیب پذیری CVE-2020-13666 ٬ اگر قبلاً از AJAX API دروپال برای انجام درخواست های JSONP استفاده می کردید ، باید تنظیمات AJAX را نادیده بگیرید و “jsonp: true” را تنظیم کنید ، و یا باید مستقیماً از API jQuery AJAX استفاده کنید.
اگر از API AJAX jQuery برای URL های ارائه شده توسط کاربر در یک ماژول سفارشی استفاده می کنید ، باید کد خود را بررسی کرده ودر موارد لازم “jsonp: false” تنظیم کنید.
در نظر داشته باشید در صورتی که از دروپال نسخه ۷ استفاده می کنید.باید این url ها از طریق تابع جدید Drupal.sanitizeAjaxUrl() منتقل شوند.
به روزرسانی Drupal 7 احتمالاً باعث کاهش عملکرد AJAX در سایتهایی می شود که از jQuery 1.5 استفاده می کنند. به نظر می رسد این مسئله به طور خاص بر jQuery 1.5 تأثیر می گذارد.
جهت رفع آسیب پذیری CVE-2020-13667 ماژول experimental Workspaces به شما این امکان را می دهد که چندین فضای کاری در سایت خود ایجاد کنید تا محتوای پیش نویس٬ قبل از اینکه در سایت منتشر شود٬ در آن ویرایش شود.
پس از به روزرسانی سایتی که دارای Workspace است ، ممکن است کاربران همچنان از سیستم خارج نشده باشند و محتوای فضای کاری غیرمجاز را که قبلاً به آن دسترسی داشته اند را ببینند.برای خروج کاربران باید جدول sessions را خالی کرد.دقت داشته باشید با این کار پیش نویس های کاربران نیز حذف می شود در صورتی که به این پیش نویس ها نیاز دارید قبل از خروج کاربران٬پیش نویس ها را در جایی دیگر ذخیره کنید و سپس مجدد وارد نمایید.
برای رفع آسیب پذیری CVE-2020-13668 لازم است سایت هایی که از متدهای \Drupal\Core\Form\FormBuilder’s renderPlaceholderFormAction() و buildFormAction() استفاده نموده اند پاکسازی بر روی urlهای خود انجام دهند.