Kentaro Inoue
- アドバイザリ ID: SA-CORE-2018-005
- プロジェクト: Drupal core
- バージョン: 8.x
- CVE: CVE-2018-14773
- 日付: 2018年8月1日
詳細
DrupalにはSymfonyライブラリが使用されています。SymfonyライブラリがDrupalに影響をおよぼすセキュリティアップデートをリリースしました。将来につきましては、Symfonyセキュリティアドバイザリーを参照ください。
同様の脆弱性がDrupalコアに含まれるライブラリZend Feed およびDiactorosにも存在します。しかし、Drupalコアは今回の脆弱性を伴う機能を利用していません。もし、サイトやモジュールがZend Feedおよび、Diactorosディレクトを使用している場合は、Zend Framework security advisorを読み、必要に応じてアップデートか修正パッチの適用が必要となります。
Drupalセキュリティチームは今回の脆弱性に対する協力に関して、Zendセキュリティチームに感謝します。
影響を受けるバージョン
バージョン8.5.6以前のDrupal 8(8.5.x)
解決法
Drupal 8.5.6へアップデートしてください。
8.5.xより以前のDrupal 8はすでにセキュリティアップデートの対象外のため、セキュリティアップデートの対象外です。
お問い合わせ
Drupalセキュリティチーム
https://www.drupal.org/contact
参考リンク
The Drupal Security team and their policies
Writing secure code for Drupal
securing your site
この記事を書いた人 : Kentaro Inoue
ANNAI株式会社
マーケティングマネージャー
サービスの設計・企画、マーケティング、採用戦略の立案などを担当。普段は新潟で猫と一緒に、時々海外からリモートで働いています。好きなモジュールはRulesとFlagです。
関連コンテンツ
- Drupal Core(SA-CORE-2019-008)の脆弱性について
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-005)の脆弱性について
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について
- Drupal Coreの脆弱性-SA-CORE-2018-006に対するANNAIの対応
- Drupal Coreの脆弱性-SA-CORE-2018-006
- Drupal Coreの脆弱性-SA-CORE-2018-005に対するANNAIの対応
- Drupal8セキュリティ情報 2018年8月1日(水) - DRUPAL-PSA-2018-07-30
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報