
この記事の目次
アドバイザリ ID: DRUPAL-SA-CORE-2019-005
プロジェクト: Drupal core
日付: 2019年4月17日
セキュリティリスク:中程度に危険 リスクレベル 14/25
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。)
脆弱性:複数の脆弱性
詳細
Drupal 8のコアが依存するサードパーティソフトウェアの以下の脆弱性修正に伴う更新リリースです。
- CVE-2019-10909: Escape validation messages in the PHP templating engine
- テーマ内のフォーム入力のバリデーションメッセージが正しくエスケープされていないユーザー入力を含む場合があり、それがXSSを発生させます。
- CVE-2019-10910: Check service IDs are valid
- 入力チェックされていないユーザー入力に基づくサービスIDが任意のコードのリモート実行を引き起こします。
- CVE-2019-10911: Add a separator in the remember me cookie hash
- ユーザー名の保存用のクッキーの有効期限の一部がユーザー名の一部とみなされたり、逆にユーザー名の一部がクッキーの有効期限の一部と見なされる場合があります。そのため攻撃者がクッキーの一部を書き換えて異なるユーザーとして認証させることが可能になります。ただし、複数ユーザーが同じパスワードを使用している場合やSSOを利用している場合などにのみ発生します。
対応方法
- Drupal 8.6の場合はDrupal 8.6.15へアップデート
- Drupal 8.5またはそれ以前の場合はDrupal 8.5.15へアップデート
Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2021-001)
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-011)
- Drupal Coreの脆弱性について(SA-CORE-2019-010)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- Drupal Core(SA-CORE-2019-008)の脆弱性について
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について
Drupal 9初心者講座バックナンバー
-
Drupal初心者講座について
-
第1回 歴史に見るDrupal のDNA
-
第2回 Drupalはフレームワークか?CMSか?
-
第3回 Drupalの特徴
-
第4回 Drupal 9のインストール(1)
-
第5回 Drupal 9のインストール(2)
-
第6回 コンテンツを投稿してみる
-
第7回 ボキャブラリとタクソノミーを使う
-
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
-
第9回 Drupal 9のブロックシステム
-
第10回 Drupalの標準クエリービルダ Views
-
第11回 Drupalと他のCMSのクエリビルダー機能を比較
-
第12回 Drupal 9の多言語機能と他のCMSやサービスとの比較
-
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
-
第14回 Drupalのテーマシステムについて
-
第15回 Drupalの拡張モジュールの選定と利用方法
-
第16回 Drupalをもっと知りたい方に向けた各種情報