Drupal Core(SA-CORE-2019-005)の脆弱性について

アドバイザリ ID: DRUPAL-SA-CORE-2019-005
プロジェクト: Drupal core
日付: 2019年4月17日
セキュリティリスク：中程度に危険　リスクレベル 14/25 
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default 
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性：複数の脆弱性

詳細

Drupal 8のコアが依存するサードパーティソフトウェアの以下の脆弱性修正に伴う更新リリースです。

• CVE-2019-10909: Escape validation messages in the PHP templating engine
  • テーマ内のフォーム入力のバリデーションメッセージが正しくエスケープされていないユーザー入力を含む場合があり、それがXSSを発生させます。
• CVE-2019-10910: Check service IDs are valid
  • 入力チェックされていないユーザー入力に基づくサービスIDが任意のコードのリモート実行を引き起こします。
• CVE-2019-10911: Add a separator in the remember me cookie hash
  • ユーザー名の保存用のクッキーの有効期限の一部がユーザー名の一部とみなされたり、逆にユーザー名の一部がクッキーの有効期限の一部と見なされる場合があります。そのため攻撃者がクッキーの一部を書き換えて異なるユーザーとして認証させることが可能になります。ただし、複数ユーザーが同じパスワードを使用している場合やSSOを利用している場合などにのみ発生します。

対応方法

• Drupal 8.6の場合はDrupal 8.6.15へアップデート
• Drupal 8.5またはそれ以前の場合はDrupal 8.5.15へアップデート

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。