オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal Core 7.x、8.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/05/09(木)02:29 AM)

今週は Drupal 7.x、8.x のコア(サードパーティー ライブラリ)のセキュリティー アップデートです。

モジュール(重大性スコア)使用サイト数



Drupal Core 7.x、8.x

オンラインの原文: Drupal core - Moderately critical - Third-party libraries - SA-CORE-2019-007


概要

このセキュリティー リリースは Drupal コアに含まれている、または Drupal コアに必要とされる、サードパーティー依存性(ディペンデンシー)の問題を解消する。内容は「TYPO3-PSA-2019-007: By-passing protection of Phar Stream Wrapper Interceptor:(Phar ストリーム ラッパー インターセプター プロテクションの回避)」に解説されている。

仕込まれた Phar アーカイブに対する file_exists または stat などのファイル呼び出しの際に情報を盗み取るには、PHP Phar ストリーム処理によって扱われる前に、ベース ネームを検知、チェックしなくてはならない。(中略)
現在の実装にはパス トラバーサル(パスの乗り越え)に対する脆弱性があるため、実際の(仕込まれた)ファイル以外の Phar アーカイブが対象となってしまうシナリオにつながる」

解決方法

最新バージョンをインストールする。

  • Drupal 8.7 を使用している場合は Drupal 8.7.1 にアップデートする。
  • Drupal 8.6 以前のバージョンを使用している場合は Drupal 8.6.16 にアップデートする。
  • Drupal 7 を使用している場合は Drupal 7.67 にアップデートする。

Drupal 8.6.x よりも前のバージョンは EOL(サポート終了)になっているため、セキュリティー対策は提供されない。

Drupal プロジェクト ページも参照。