2019年12月18日
Kuniyoshi Tone
この記事の目次
アドバイザリ ID: DRUPAL-SA-CORE-2019-010
プロジェクト: Drupal core
対象バージョン: 8.8.x-dev, 8.7.x-dev
日付: 2019年12月18日
セキュリティリスク:中程度の危険 リスクレベル 14∕25
AC:Basic/A:Admin/CI:Some/II:All/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性:複数の脆弱性
詳細
Drupal 8 のコアの file_save_upload() 関数は Drupal 7 が行っていたようにファイル名の先頭および末尾のピリオドを削除しません。
モジュールとともに任意の拡張子を持つファイルをアップロードできるユーザーは、これを使用して、Drupalのデフォルトの.htaccessファイルによって提供される保護をバイパスするために、.htaccessなどのシステムファイルをアップロードできます。
この修正により、今後は file_save_upload() 関数はファイル名の先頭および末尾のピリオドを削除するようになります。
対応方法
以下の最新バージョンをインストールしてください。
- Drupal 8.7.xを使用中ならば Drupal 8.7.11
- Drupal 8.8.xを使用中ならば Drupal 8.8.1.
Drupal 8.7.x以前のバージョンはサポート対象外です。
この記事を書いた人 : Kuniyoshi Tone
ANNAI株式会社
企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2021-001)
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-011)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-004 に関しまして
- Drupalのセキュリティアップデートに関するANNAIの考え方
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-002 に関しまして
- 脆弱性SA-CORE-2018-002に関するFAQ
- Drupal 8導入前に必ず考えたい「保守」のこと
- Drupalでの開発時に避けるべき5つの間違い - セキュリティー編
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報