Критическая уязвимость Drupal-7

Что делать? Куда бежать?

Наш любимый Drupal стойко сдерживал натиск все эти годы, но, к сожалению, был серьезно скомпрометирован буквально на днях. Официальный источник https://www.drupal.org/SA-CORE-2014-005  Дыра в защите позволяет получить полный доступ к сайту. Это грозит его удалением, вирусами, добавлением спама (рекламной информации).В связи с большим количеством заявок нами была создана группа оперативного реагирования, задачи по устранению уязвимости Druapl 7 решаются в день обращения. Стоимость задачи до @kod руб. (до 1 нормо-часа). 

Способы устранения уязвимости

Вне зависимости от выбранного способа, перед началом работ убедитесь, что у вас есть полная копия сайта (база  + файлы). 

Вариант 1.  Обновления ядра.

• Включите режим обслуживания сайта. Конфигурация (config) > Режим обслуживание (maintenance mode)
• Скачайте с официального сайта последнюю версию Drupal 7
• Удалите все старые файлы и папки из корневой директории за исключением /sites/ и сторонних папок созданных вами ранее.
• Замените удаленные файлы новыми и запустите скрипт обновления базы данных /update.php

 

​Вариант 2.  Патч.

• Включите режим обслуживания сайта. Конфигурация (config) > Режим обслуживание (maintenance mode)
• Для установки патча вам понадобится утилита patch, которая идет вместе с diff при использовании любой системы контроля версий: Subversion, CVS, RCS, Mercurial and Git. По-умолчанию уже установлены на виртуальных хостингах.
• Скачайте и примените патч https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
• Отключите режим обслуживания сайта.