ANNAIマガジン
Drupal Core(SA-CORE-2019-006)
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-006
プロジェクト: Drupal core
日付: 2019年4月17日
セキュリティリスク:中程度に危険 リスクレベル 10/25 
AC:Complex/A:Admin/CI:Some/II:Some/E:Theoretical/TD:Uncommon 
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性:クロスサイトスクリプティング

詳細

jQueryのバージョン3.4.0がリリースされ、それに伴いこれ以前の全てのバージョンのjQuery.extend()の脆弱性が公開されました(詳細はリリースノートを参照して下さい)。この脆弱性はいくつかのDrupalモジュールへの攻撃を可能とします。

このDrupalセキュリティー・リリースでは、Drupalコアに含まれているjQueryのバージョン(Drupal 8の場合は3.2.1、Drupal 7の場合は1.4.4)を変更せずに今回のjQuery.extend()への修正をバックポートします。 また jQuery UpdateのようなモジュールによってjQueryのバージョンをアップグレードしていてもこの修正は適用されます。

対応方法

  • Drupal 8.6の場合はDrupal 8.6.15へアップデート
  • Drupal 8.5またはそれ以前の場合はDrupal 8.5.15へアップデート
  • Drupal 7の場合はDrupal 7.66へアップデート

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。

追加情報:同日に発表されたモジュールの脆弱性について

以下のモジュールの脆弱性も発表されました。該当するモジュールを利用されている方はアップデートを実施してください。

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ