(gelöst) Dynamic display block wird nicht mehr unterstützt
Eingetragen von beaschmitz (469)am 24.05.2015 - 22:35 Uhr in
Hallo zusammen,
ich benutze eigentlich schon seit Jahren recht erfolgreich "Dynamic display block" auf meiner
Website http://www.stillgruppen.de
Nun habe ich angezeigt bekommen, dass "Dynamic display block" nicht mehr unterstützt wird und ich es deinstallieren soll!
Dies möchte ich eigentlich nicht...
Was könnte passieren wenn ich es einfach laufen lasse? Sicherheitsrisiko?
Und wenn ich es wegmachen muss, welche Alternative habe ich?
Danke und Gruß
- Anmelden oder Registrieren um Kommentare zu schreiben
Wie auf der Projektseite
am 24.05.2015 - 23:09 Uhr
Wie auf der Projektseite beschrieben existiert ein Sicherheitsproblem, dass vom Maintainer aktuell nicht behoben wurde.
https://www.drupal.org/project/ddblock
Die Releases wurden somit gesperrt, um die Sicherheit von Webseiten zu gewährleisten, steht aber auch im SA:
https://www.drupal.org/node/2484157
Eine Möglichkeit wäre einen Patch zu schreiben und warten bis dieser committed ist und in der Zwischenzeit selber einen Hotfix einzubinden.
Dann sollte wieder alles gut sein.
Hi Sense, danke für Deine
am 24.05.2015 - 23:29 Uhr
Hi Sense,
danke für Deine Antwort... aber ich bin kein Programmierer und kann mir keinen Patch schreiben....
Ich müsste das also runter nehmen, da es ein Sicherheitsproblem darstellt.
Alternative Module kennt niemand?
Danke
Soweit ich mich erinnere gibt
am 24.05.2015 - 23:37 Uhr
Soweit ich mich erinnere gibt es in der Issue-Queue bereits einen Patch. Außerdem sind die Bedingungen zum Ausnutzen des Problems doch meist nicht gegeben:
This vulnerability is mitigated by the fact that an attacker must have a role
with the permission "administer ddblock" permission.
Ist das ein Problem für Dich?
Wie Werner schon sagt ist
am 25.05.2015 - 08:10 Uhr
Wie Werner schon sagt ist dieser SA mit "Less Critical" eingestuft.
Du musst auf deiner Seite prüfen, ob die Sicherheitslücke ausgenutzt werden kann.
Schau mal in deine Berechtigungsübersicht und prüfe wer alles die entsprechende Berechtigung hat.
Aachso,dann kann ich den
am 25.05.2015 - 10:55 Uhr
Aachso,
dann kann ich den Hinweis, dass ich das Modul entfernen soll ignorieren, wenn die User diese Rolle nicht haben?
Ich denke diese Rolle habe ich dem normalen User nicht vergeben...
Also kann ich alles so lassen?!! Das wäre ja super!
Danke!
NACHTRAG:
Ich habs gerade mal gechecked: Der Haken bei administer is nur bei Admin
admin/user/permissions
Dann sollte es kein Problem
am 25.05.2015 - 11:05 Uhr
Dann sollte es kein Problem darstellen. Sobald ein Sicherheitsupdate veröffentlicht werden sollte, solltest Du es natürlich einspielen.
Ok, Danke!
am 25.05.2015 - 11:36 Uhr
Ok, Danke!