2019年04月18日
Kuniyoshi Tone
この記事の目次
アドバイザリ ID: DRUPAL-SA-CORE-2019-005
プロジェクト: Drupal core
日付: 2019年4月17日
セキュリティリスク:中程度に危険 リスクレベル 14/25
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。)
脆弱性:複数の脆弱性
詳細
Drupal 8のコアが依存するサードパーティソフトウェアの以下の脆弱性修正に伴う更新リリースです。
- CVE-2019-10909: Escape validation messages in the PHP templating engine
- テーマ内のフォーム入力のバリデーションメッセージが正しくエスケープされていないユーザー入力を含む場合があり、それがXSSを発生させます。
- CVE-2019-10910: Check service IDs are valid
- 入力チェックされていないユーザー入力に基づくサービスIDが任意のコードのリモート実行を引き起こします。
- CVE-2019-10911: Add a separator in the remember me cookie hash
- ユーザー名の保存用のクッキーの有効期限の一部がユーザー名の一部とみなされたり、逆にユーザー名の一部がクッキーの有効期限の一部と見なされる場合があります。そのため攻撃者がクッキーの一部を書き換えて異なるユーザーとして認証させることが可能になります。ただし、複数ユーザーが同じパスワードを使用している場合やSSOを利用している場合などにのみ発生します。
対応方法
- Drupal 8.6の場合はDrupal 8.6.15へアップデート
- Drupal 8.5またはそれ以前の場合はDrupal 8.5.15へアップデート
Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。
この記事を書いた人 : Kuniyoshi Tone
ANNAI株式会社
企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。
関連コンテンツ
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について
- Drupal Coreの脆弱性-SA-CORE-2018-006に対するANNAIの対応
- Drupal Coreの脆弱性-SA-CORE-2018-006
- Drupal Coreの脆弱性-SA-CORE-2018-005に対するANNAIの対応
- Drupal Coreの脆弱性-SA-CORE-2018-005
- Drupal8セキュリティ情報 2018年8月1日(水) - DRUPAL-PSA-2018-07-30
- Drupal Coreの深刻な脆弱性SA-CORE-2018-004
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報