ANNAIマガジン
Drupal Coreの脆弱性
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-005
プロジェクト: Drupal core
日付: 2019年4月17日
セキュリティリスク:中程度に危険 リスクレベル 14/25 
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default 
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性:複数の脆弱性

詳細

Drupal 8のコアが依存するサードパーティソフトウェアの以下の脆弱性修正に伴う更新リリースです。

  • CVE-2019-10909: Escape validation messages in the PHP templating engine
    • テーマ内のフォーム入力のバリデーションメッセージが正しくエスケープされていないユーザー入力を含む場合があり、それがXSSを発生させます。
  • CVE-2019-10910: Check service IDs are valid
    • 入力チェックされていないユーザー入力に基づくサービスIDが任意のコードのリモート実行を引き起こします。
  • CVE-2019-10911: Add a separator in the remember me cookie hash
    • ユーザー名の保存用のクッキーの有効期限の一部がユーザー名の一部とみなされたり、逆にユーザー名の一部がクッキーの有効期限の一部と見なされる場合があります。そのため攻撃者がクッキーの一部を書き換えて異なるユーザーとして認証させることが可能になります。ただし、複数ユーザーが同じパスワードを使用している場合やSSOを利用している場合などにのみ発生します。

対応方法

  • Drupal 8.6の場合はDrupal 8.6.15へアップデート
  • Drupal 8.5またはそれ以前の場合はDrupal 8.5.15へアップデート

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ