Tartalom
Bevezető
Ebben a cikkben sajnos rossz hírt kell közölnöm az egyik legnépszerűbb modullal kapcsolatban: a Colorbox modult biztonsági okokból nem támogatott (unsupported) státuszba helyezték, mert a benne talált biztonsági hibát a modul karbantartói nem javították.
A Colorbox egy igen hasznos lightbox modul, ami sokoldalúsága és a Drupal rendszerrel való mély integrálhatósága miatt nagy népszerűségre tett szert. A Colorbox modult jómagam is használom ezen az oldalon, és a Linuxportál oldalamon is, például ennek a segítségével nyílnak meg a cikkekben lévő képek. Persze ez a modul több egy lightbox-nál, de ezzel egy másik leírásban foglalkozunk majd.
Néhány napja követem az eseményeket, amióta jött egy értesítő mindkét Drupal-os oldalamra, hogy újabb frissítések érhetők el. Ebben a rövid kis cikkben megnézzük, hogy hol tudunk tájékozódni ennek a problémának a részleteiről és állapotáról.
Elérhető frissítések
Benéztem az adminban az elérhető frissítések oldalra:
Itt látom, hogy a Colorbox modul sorában a következőt írja: "Nem támogatott projekt: A projektet már nem támogatják, és már nem tölthető le. Javasolt kikapcsolni minden ezzel a projekttel járó funkciót."
Na, gondoltam ez egy nagyon nem jó hír, mivel mindkét oldalam szerves részét képezi ez a modul. Ha ki kellene kapcsolnom, akkor - bár ezen az oldalon még nem, de - a Linuxportálon behozhatatlan sok munka lenne minden cikkben, leírásban kicserélni a képnyitogatók forráskódjait, még ha találnék is megfelelő alternatívát. Így hát felmentem a modul projekt oldalára, hogy megnézzem mi a helyzet.
Colorbox modul projekt oldala
A Colorbox modul projekt oldala itt található. Itt is egyből látszik a jelzés, miszerint egy biztonsági hiba miatt nem támogatott a modul:
Itt ez egyben annyit is jelent, hogy levették a különböző branch-ek letöltő linkjeit, azaz már nem lehet innen letölteni a modult sem. Azonban ha lejjebb görgetünk, megtaláljuk az összes kiadás linkjét, ahol természetesen még letölthetjük bármelyik kiadását a modulnak, azonban figyelmeztetnek, hogy csak saját felelősségre tegyük.
Visszatérve a modul projekt főoldalára, a jobboldali hasábban találjuk a problémákkal és hibákkal foglalkozó részek linkjeit.
Hibákkal foglalkozó aloldal
Mivel ennek a modulnak elég nagy felhasználói tábora van, azaz több, mint 200.000 oldal használja ezt a modult, ezért itt jó eséllyel fogunk találni ezzel a problémával kapcsolatos beszélgetéseket. Itt a tetején rögtön van is két téma:
Az első szál a Colorbox Drupal^8 illetve Drupal^9-es ágnak, azaz a 8.x-1.8 javításában érdekelt felhasználók beszélgetéseit tartalmazza, míg a második pedig a Drupal 7.x verziójához kiadott modulváltozat javítását és hibaelhárítását tárgyalja.
Egyelőre még csak tanakodnak hogy mit lehetne tenni, mert nagyon sokan használják ezt a modult, ezért sok felhasználónak okozna problémát ha ki kellene kapcsolni ezt a modult. Így jelenleg karbantartókat, fejlesztőket keresnek, akik ki tudják javítani a hibát.
Ha a cikk olvasásakor még nem történt változás, akkor érdemes követni ezeket a beszélgetéseket, mert ekkora közösségnél jó esély van arra, hogy valaki jelentkezik, aki el tudja végezni ezeket a javításokat.
Még az sem elhanyagolható tényező, hogy vannak más modulok is, amik erre épülve kibővítik a Colorbox funkcionalitását vagy az alaprendszerbe történő integrálását. Így ha a Colorbox nem kapja vissza az aktív státuszát, akkor az ezeket a modulokat is érinti, mivel ezek függőségi modulja a Colorbox.
Változás történt tegnap, a részletek lejjebb.
A tegnapi nap bekerült egy újabb tag a modul karbantartói közé, aki kijavította a biztonsági hibát. Tehát most éppen így néz ki a modul projekt oldala:
Itt most ez a felirat látható:
All known security issues are fixed as of the latest releases, 7.x-2.16 and 8.x-1.8. However, in an abundance of caution, security coverage will not be restored until we complete a thorough audit of the codebase.
Tehát annyi a lényeg, hogy mind a 7.x-2.16, mind a 8.x-1.8 kiadásokban megtörtént a biztonsági hibák javítása, azonban a biztonsági csapatnak még át kell néznie a teljes forráskódot és majd azután kerül vissza a modul a normális (biztonságosnak minősített) állapotába. Addig is frissíthetjük a modult az újabb verzióra.
Tehát ahogy számítottam, a modul nagy közösségének köszönhetően akadt egy fejlesztő, aki elvállalta a modul javítását. Ezúton is köszönet neki!
Konklúzió
A dolog érdekessége - a jelenlegi állapot szerint -, hogy adott egy 200K+ felhasználói táborral rendelkező modul, amiben előkerül egy biztonsági hiba, de a jelenlegi karbantartók/fejlesztők eddig nem javították, és ismeretlen okokból úgy tűnik nem is folytatják a modul fejlesztését. Persze itt napról napra változhatnak a dolgok, ezért én is csak emiatt írtam erről az egészről, mert nagyon sajnálnám, ha nem lenne további fejlesztés ehhez a modulhoz. De bízom benne, hogy itt a nagy létszámból adódóan lesznek akik megmentik ezt a projektet. Tehát még szerintem nem érdemes kikapcsolni a modult, érdemes kivárni még egy kicsit, és szerintem meg fogják oldani ezt a problémát.
Ha bármi változás van a modullal kapcsolatban, frissítem ezt a cikket. Addig is drukkoljunk, hogy minél előbb lesznek új karbantartók, akik kijavítják a biztonsági hibát.
(frissítés fentebb)
- drupal.org - Project - Colorbox
- drupal.org - Project - Colorbox - Issues - Plan for Colorbox 8.x-1.8
- drupal.org - Project - Colorbox - Issues - Colorbox 7.x options for unsupported status?
- drupal.org - Project - Project ownership - issues - Offer to co-maintain Colorbox
- drupal.org - Security advisories - Contributed projects - Colorbox - Critical - Unsupported - SA-CONTRIB-2022-007
- drupal.org - Drupal Wiki - Taking over unsupported (abandoned) projects
- drupal.org - Project - Colorbox - Usage
- A hozzászóláshoz regisztráció és bejelentkezés szükséges
- 49 megtekintés