تحديث أمني عاجل لـ Drupal غادي يخرج نهار 20 ماي 2026، خاص الاستعداد ليه من دابا
Drupal to Release Urgent Core Security Updates on May 20, Sites Told to Prepare
تحديث أمني عاجل لـ Drupal غادي يخرج نهار 20 ماي 2026، خاص الاستعداد ليه من دابا
خلاصة: غادي تخرج Drupal ترقيع أمني حرج للنظام الأساسي ديالها فݣاع الفروع المدعومة نهار 20 ماي 2026، ما بين 5 و 9 دالعشية بالتوقيت العالمي (UTC). هاد الثغرة كتقيس غير بعض الإعدادات، ولكن فريق الأمن ديال Drupal كيحذر بلي ممكن يتم تطوير استغلال لهاد المشكل فظرف ساعات ولا أيام قليلة من مورا الإصدار. خاص مسؤولي المواقع يخصو وقت فهاد الفترة باش يحددو التأثير ويطبقو التحديثات بالزربة.
شنو واقع
علن فريق الأمن ديال Drupal على إصدار أمني مبرمج نهار 20 ماي 2026 من 5 لـ 9 دالعشية (UTC). الإشعار ما كشفش على طبيعة الثغرة لي غادي يتم الترقيع ديالها. ولكن النطاق الواسع ديال هاد التحديث—لي كيشمل نسخ ثانوية سالات الصلاحية ديالها (end-of-life) بحال (11.1.x و 10.4.x) وحتى ترقيعات استثنائية للنسخ الرئيسية لي مابقاش الدعم ديالها (Drupal 8 و 9)—كيبين بلي هاد المشكل كيشكل خطر كبير.
وضح الفريق مزيان بلي "ماشي ݣاع الإعدادات مقيوسين" وطلب من الإداريين باش يوجدو وقت فهاد الفترة باش يشوفو واش المواقع ديالهم محتاجة لتحديث فوري. التفاصيل ديال كيفاش يتحد من الخطر غادي تكون فالإشعار لي غادي يخرج مع التحديثات.
حذر الفريق عاوتاني بلي الاستغلال ديالها ممكن يبان فظرف ساعات ولا أيام من مورا ما يوليو الترقيعات عمومية، وهادشي كيأكد على الضرورة ديال تطبيق الإصلاحات بالزربة غير تكون متوفرة.
علاش هادشي مهم
بالنسبة لمحللي SOC والـ sysadmins لي مكلفين بالبنية التحتية ديال Drupal فالمغرب والمنطقة، هاد الإعلان كيعتبر حدث صيانة عندو أولوية قصوى. الوقت القصير لي بين صدور الترقيع والاحتمال الكبير ديال تطور الاستغلال كيخلق ضغط تشغيلي: خاص المؤسسات يوجדו إجراءات التحديث، يجربوها، ويكونوا واجدين باش ينفذوها فخلال أو مباشرة من بعد الفترة المحددة نهار 20 ماي.
القضية ديال أن النسخ الثانوية لي سالات صلاحيتها (11.1.x، 10.4.x) حتى هي غادي تاخد الترقيع—رغم أنها خارج فترة الدعم العادية—كتمثل مؤشر على الخطورة ديال هاد التحديث. قليل فاش Drupal كتخرج على هاد القاعدة على قبل مشاكل بسيطة.
زيد على هادشي، المؤسسات لي باقة خدامة بـ Drupal 8 ولا 9 غادي طيح فمشكل: الترقيعات اليدوية لي غادي تعطى ماعندهاش ضمانات باش تخدم مزيان، وممكن هاد الملفات تخلق مشاكل وتراجعات (regressions) فالموقع. هادشي كيخلي الترقية لنسخة رئيسية مدعومة (Drupal 10.6 أو أحدث) هي الحل الأكثر أمانا على المدى الطويل، وخا كتحتاج وقت كبر من مجرد تطبيق الترقيع.
الأنظمة المقيوسة والـ CVEs
الفروع المدعومة لي غادي يوصلها الترقيع:
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 10.6.x
- Drupal 10.5.x
النسخ الثانوية المنتهية الصلاحية (End-of-life) لي غادي يوصلها الترقيع:
- Drupal 11.1.x
- Drupal 10.4.x
النسخ الرئيسية المنتهية الصلاحية لي غادي تعطاها ملفات ترقيع يدوية (مع تنبيهات):
- Drupal 9.x (ملف ترقيع لـ 9.5)
- Drupal 8.x (ملف ترقيع لـ 8.9)
لي مامقيوسينش:
- Drupal 7
ماتم تخصيص حتى CVE فهاد الوقت ديال النشر.
شنو خاصك دير
قبل من 20 ماي:
- حدث المنظومات ديال Drupal 11.1 أو 11.0 لـ Drupal 11.1.9 على الأقل.
- حدث التثبيتات ديال Drupal 10.4، 10.3، 10.2، 10.1، أو 10.0 لـ Drupal 10.4.9 على الأقل.
- دير التحديث لأي تثبيت ديال Drupal 9 لـ 9.5.11.
- دير التحديث لأي تثبيت ديال Drupal 8 لـ 8.9.20.
- هاد الاستعداد القبلي كيحل المشاكل ديال الترقية العالقة وكيوجد المواقع باش تطبق الترقيع الأمني مباشرة غير يخرج.
- جرب إجراءات التحديث فبيئة تجريبية (staging environment) إلى كنتي مادرتيهاش مؤخرا.
نهار 20 ماي (من 5 لـ 9 دالعشية UTC) ومباشرة من بعد:
- طبق الترقيعات الأمنية لـݣاع النسخ المدعومة ديال Drupal فور توفرها.
- بالنسبة لـ Drupal 11.3.x، 11.2.x، 10.6.x، و 10.5.x: طبق أحدث إصدار للترقيع الخاص بالفرع ديالك.
- بالنسبة لـ Drupal 11.1.x و 10.4.x: طبق التحديث الأمني، ومن بعد خطط للترقية لـ Drupal 11.3 ولا 10.6 فالأجل القريب.
- بالنسبة لـ Drupal 9 و 8: فكر فترقية الموقع لـ Drupal 10.6 على الأقل فبلاصت ماتدير الترقيع اليدوي. إلى طبقتي ترقيعات يدوية، جرب الموقع مزيان للتأكد من عدم وجود تراجعات (regressions)، وخلي فبالك بلي Drupal 8 و 9 فيهم ثغرات أمنية أخرى تم الإعلان عليها من قبل وماغاديش يتم الإصلاح ديالها بهاد ملفات الترقيع.
من بعد 20 ماي:
- راقب أي نشاط أو استغلال موجه ضد الثغرة لي تم الترقيع ديالها.
- كمل الترقيات المبرمجة من النسخ لي سالات الصلاحية ديالها فواحد الوقت معقول.
أسئلة باقة مطروحة
- الطبيعة بالضبط ديال هاد الثغرة (بحال RCE، حقن SQL، أو XSS، أو تخطي المصادقة) مامحدداش فالإشعار.
- شنو هوما الإعدادات ديال Drupal لي مقيوسة ولي مامقيوساش باقي ماواضحش، حتال وقت صدور الإشعار الكامل.
- واش هاد الثغرة كتستغل حاليا فالهجمات الواقعية قبل من هاد الإعلان؟
- درجة الخطورة (CVSS) ديال هاد الثغرة باقي ماتعلن عليها.
- واش الترقيع بوحدو كافي للحد من الخطر أو خاصك تدير إجراءات أخرى ديال الحماية فانتظار صدور الإشعار الكامل.
المصدر
Drupal to Release Urgent Core Security Updates on May 20, Sites Told to Prepare
التعليقات (0)
التعليقات كتتحمل ملي توصل لهاد الجزء.