4 дырки завезли в 8ку https://git.drupalcode.org/project/drupal/commits/8.8.x
Релизы скоро соберутся

8.7 тоже?

Да

Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009
https://www.drupal.org/sa-core-2019-009

Project: Drupal core (https://www.drupal.org/project/drupal)Version: 8.8.x-dev8.7.x-devDate: 2019-December-18Security risk: Moderately critical 12∕25 AC:None/A:None/CI:None/II:None/E:Theoretical/TD:AllVulnerability: Denial of ServiceDescription: A visit to install.php can cause cached data to become corrupted. This could cause a site to be impaired until caches are rebuilt.Solution: Install the latest version:
If you are using Drupal 8.7.x, upgrade to Drupal 8.7.11 (https://www.drupal.org/project/drupal/releases/8.7.11).
If you are using Drupal 8.8.x, upgrade to Drupal 8.8.1 (https://www.drupal.org/project/drupal/releases/8.8.1).
Versions of Drupal 8 prior to 8.7.x are end-of-life and do not receive security coverage.
To mitigate this issue in any version of Drupal 8, you can also block access to install.php if it's not required.Reported By: Drew Webber  (https://www.drupal.org/user/255969) of the Drupal Security Team
Fixed By: Drew Webber  (https://www.drupal.org/user/255969) of the Drupal Security Team
Lee Rowlands  (https://www.drupal.org/user/395439) of the Drupal Security Team
Heine  (https://www.drupal.org/user/17943) of the Drupal Security Team
Alex Pott  (https://www.drupal.org/user/157725) of the Drupal Security Team
Jess   (https://www.drupal.org/user/65776) of the Drupal Security Team
Damien McKenna  (https://www.drupal.org/user/108450) of the Drupal Security Team
David Snopek  (https://www.drupal.org/user/266527) of the Drupal Security Team
Nathaniel Catchpole  (https://www.drupal.org/user/35733) of the Drupal Security Team
Greg Knaddison  (https://www.drupal.org/user/36762) of the Drupal Security Team

И семерка даже

Генератор сущностей drupal generate:entity:content подефалту создаёт всем сущностям свойство "published". Но оно мне не нужно, поэтому я его пытаюсь выпилить. Если я удаляю его из entity_keys (удаляю строку "published" = "status"), то друпал ругается: The entity type country does not have a "published" entity key..
Как правильно удалить это свойство из сущности?

Не берусь утверждать но может там сторейдж свой надать

Надо смотреть, от какого класса наследуешься и какие трейти используются

Да он там от самого базового контент ентити вроде берет))

use EntityPublishedTrait;

вот это надо выпилить

И в baseFieldDefinitions

 // Add the published field.
    $fields += static::publishedBaseFieldDefinitions($entity_type);

Удалить

в EntityPublishedTrait::publishedBaseFieldDefinitions как раз есть проверка на наличие published-поля:

    if (!$entity_type->hasKey('published')) {

А что на then ?

Throw new?)))

    if (!$entity_type->hasKey('published')) {

а, ну да, как раз там и эксепшн идёт ;)

благодарю! Глаза плохо умыл с утра ;)

Великая сила друпал

вообщем клонировал тип материала с типа материала, к которому есть доступ. Но всё-равно к новому типу нет доступа у пользователей.