Drupal セキュリティー チームからの連絡です(日本時間 2019/01/17(木)03:45 AM~)
今週は Drupal コアが 2 件で、どちらも D7.x、8.5.x、8.6.x が該当しています。ご注意ください。
モジュール(重大性スコア)
- Drupal core 7.x、8.5.x、8.6.x (16/25 重大)
- Drupal core 7.x、8.5.x、8.6.x (16/25 重大)
Drupal コア
オンラインの原文: Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001
- プロジェクト:Drupal core
- バージョン:7.x、8.5.x、8.6.x(原文にはバージョン番号の記載なし)
- 月日: 2019 年 01 月 16 日
- セキュリティー リスク:16/25 (重大)
AC:Complex/A:User/CI:All/II:All/E:Proof/TD:Uncommon - 脆弱性:サードパーティー ライブラリ
概要
Drupal コアはサードパーティーの PEAR Archive_Tar ライブラリを使用している。このライブラリのセキュリティ アップデートがリリースされた。Drupal のコンフィギュレーションによっては、この影響を受ける。詳細は CVE-2018-1000888 を参照。
解決方法
最新バージョンをインストールする。
- Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
- Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
- Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。
8.5.x よりも前の Drupal 8.x バージョンは EOL(開発・サポート終了)のため、セキュリティー サポートは提供されない。
Drupal コア
オンラインの原文: Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002
- プロジェクト:Drupal core
- バージョン:7.x、8.5.x、8.6.x(原文にはバージョン番号の記載なし)
- 月日: 2019 年 01 月 16 日
- セキュリティー リスク:16/25 (重大)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:All - 脆弱性:任意の PHP コード実行
概要
信頼されていない phar:// URI 上でファイル操作が行われた場合、PHP に組み込まれている phar ストリーム ラッパー内で遠隔コード実行が可能になる脆弱性がある。
Drupal(コア、貢献およびカスタム モジュール)のコードによっては、十分に認証されていないユーザーの入力に対してファイル操作を行い、この脆弱(ぜいじゃく)性にさらされる可能性がある。
事実として、こうしたコード パスでは通常、管理権限または特殊な設定に対するアクセスが必要になるため、この脆弱(ぜいじゃく)性は軽減される。
解決方法
- Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
- Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
- Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。
8.5.x よりも前の Drupal 8.x バージョンは EOL(開発・サポート終了)のため、セキュリティー サポートは提供されない。
.phar
を危険拡張子リストに追加.phar
は Drupal の「危険な拡張子のリスト」(dangerous extensions list)に追加された。これは、こうしたファイルが Drupal のファイル フィールドにアップロードされた場合、自動的にテキスト ファイル(拡張子「.txt」)に変換されることを意味する。これによってコードの実行が防がれる。これは拡張子「.php」のファイルがアップロードされた場合に Drupal が対処する方法と同様。
phar://
ストリーム ラッパーをデフォルトで無効化置換用のストリーム ラッパーは 5.3.3 よりも古い PHP バージョンとの互換性がない。このため、Drupal 7 の場合、それらの古いバージョンを使っているサイトではストリーム ラッパーが置換されることなく「オフ」にされる(Drupal 8 では、それらより新しい PHP バージョンが必要)。PHP 5.2 または 5.3.0~5.3.2 を使っている Drupal 7 サイトで phar サポートが必要な場合は、ストリーム ラッパーを「オン」に(再有効化)する必要がある。ただし、そうすると、それらの PHP バージョンの脆弱性も「再有効化」されることになるため、注意が必要。
5.3.3 よりも古いバージョンの PHP を使っていて phar サポートが必要という状況はめったにない。もし、そういう状況にある場合、セキュアでない phar サポートを修復するよりも PHP をアップグレードする方を検討するよう、お勧めする。