オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 8 コア サードパーティー ライブラリー

Drupal セキュリティー チームからの連絡です(日本時間 2018/08/02(木)06:01 AM)

今週は Drupal 8 コアのセキュリティー アップデートです。拡張モジュールやテーマに関する報告はありません。



Drupal 8 コア

オンラインの原文: Drupal Core - 3rd-party libraries -SA-CORE-2018-005

  • プロジェクト:Drupal コア
  • バージョン:8.x
  • CVE: CVE-2018-14773
  • 月日: 2018 年 08 月 01 日

概要

Drupal プロジェクトは Symfony ライブラリーを使用している。Symfony ライブラリーはセキュリティー アップデートをリリースしたが、それは Drupal に影響を与える。(具体的な)問題については Symfony のセキュリティー勧告を参照のこと。

Drupal コアに含まれている Zend Feed および Diactoros ライブラリーにも同じ脆弱性が存在するが、Drupal コアは該当する機能を使用していない。もし、Zend Feed または Diatoros ライブラリーをサイトまたはモジュールが直接、使用している場合は、Zend Framework のセキュリティー勧告を読み、必要に応じてアップデートまたはパッチを適用されたし。

Drupal セキュリティー チームは今回の問題に関する協力に関して Symfony および Zend セキュリティー チームに謝意を表したい。


該当バージョン

Drupal 8.5.6 より前の Drupal 8.x バージョンすべて


解決方法

Drupal 8.5.6 にアップデートする。

Drupal 8.5.x よりも前の Drupal 8 バージョンは EOL(End Of Life: 製品寿命終了、サポート終了)であり、セキュリティー対策は提供されない。