セキュリティー報告：Drupal Core 7.x、8.5.x、8.6.x

2019/01/17 - 12:59

Drupal セキュリティーチームからの連絡です（日本時間 2019/01/17（木）03:45 AM～）

今週は Drupal コアが 2 件で、どちらも D7.x、8.5.x、8.6.x が該当しています。ご注意ください。

モジュール（重大性スコア）

Drupal core 7.x、8.5.x、8.6.x (16/25 重大)
Drupal core 7.x、8.5.x、8.6.x (16/25 重大)

Drupal コア

オンラインの原文: Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001

プロジェクト：Drupal core
バージョン：7.x、8.5.x、8.6.x（原文にはバージョン番号の記載なし）
月日： 2019 年 01 月 16 日
セキュリティーリスク：16/25 (重大)
AC:Complex/A:User/CI:All/II:All/E:Proof/TD:Uncommon
脆弱性：サードパーティーライブラリ

概要

Drupal コアはサードパーティーの PEAR Archive_Tar ライブラリを使用している。このライブラリのセキュリティアップデートがリリースされた。Drupal のコンフィギュレーションによっては、この影響を受ける。詳細は CVE-2018-1000888 を参照。

解決方法

最新バージョンをインストールする。

Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。

8.5.x よりも前の Drupal 8.x バージョンは EOL（開発・サポート終了）のため、セキュリティーサポートは提供されない。

Drupal コア

オンラインの原文: Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002

プロジェクト：Drupal core
バージョン：7.x、8.5.x、8.6.x（原文にはバージョン番号の記載なし）
月日： 2019 年 01 月 16 日
セキュリティーリスク：16/25 (重大)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:All
脆弱性：任意の PHP コード実行

概要

信頼されていない phar:// URI 上でファイル操作が行われた場合、PHP に組み込まれている phar ストリームラッパー内で遠隔コード実行が可能になる脆弱性がある。

Drupal（コア、貢献およびカスタムモジュール）のコードによっては、十分に認証されていないユーザーの入力に対してファイル操作を行い、この脆弱（ぜいじゃく）性にさらされる可能性がある。

事実として、こうしたコードパスでは通常、管理権限または特殊な設定に対するアクセスが必要になるため、この脆弱（ぜいじゃく）性は軽減される。

解決方法

Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。

8.5.x よりも前の Drupal 8.x バージョンは EOL（開発・サポート終了）のため、セキュリティーサポートは提供されない。

.phar を危険拡張子リストに追加

.phar は Drupal の「危険な拡張子のリスト」（dangerous extensions list）に追加された。これは、こうしたファイルが Drupal のファイルフィールドにアップロードされた場合、自動的にテキストファイル（拡張子「.txt」）に変換されることを意味する。これによってコードの実行が防がれる。これは拡張子「.php」のファイルがアップロードされた場合に Drupal が対処する方法と同様。

5.3.2 以前の PHP 上で動く Drupal 7 サイトではphar:// ストリームラッパーをデフォルトで無効化

置換用のストリームラッパーは 5.3.3 よりも古い PHP バージョンとの互換性がない。このため、Drupal 7 の場合、それらの古いバージョンを使っているサイトではストリームラッパーが置換されることなく「オフ」にされる（Drupal 8 では、それらより新しい PHP バージョンが必要）。PHP 5.2 または 5.3.0～5.3.2 を使っている Drupal 7 サイトで phar サポートが必要な場合は、ストリームラッパーを「オン」に（再有効化）する必要がある。ただし、そうすると、それらの PHP バージョンの脆弱性も「再有効化」されることになるため、注意が必要。

5.3.3 よりも古いバージョンの PHP を使っていて phar サポートが必要という状況はめったにない。もし、そういう状況にある場合、セキュアでない phar サポートを修復するよりも PHP をアップグレードする方を検討するよう、お勧めする。