ANNAIマガジン
Drupal Core(SA-CORE-2019-007)
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-007
プロジェクト: Drupal core
日付: 2019年5月8日
セキュリティリスク:中程度に危険 リスクレベル 14/25 
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
(リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性:サードパーティーのライブラリー

詳細

このセキュリティリリースはDrupalコアが依存しているサードパーティーライブラリーであるtypo3/phar-stream-wrapperの脆弱性を回避するために、その最新版のライブラリーを参照するように変更するものです。脆弱性の内容はPharアーカイブファイルの正当なパス名のチェックに不備があり、異なるパスにある悪意のあるアーカイブファイルを展開してしまうというものです。

詳細はTYPO3-PSA-2019-007: By-passing protection of Phar Stream Wrapper Interceptor に説明されています。

対応方法

  • Drupal 8.7の場合はDrupal 8.7.1へアップデート
  • Drupal 8.6またはそれ以前の場合はDrupal 8.6.16へアップデート
  • Drupal 7の場合はDrupal 7.67へアップデート

Drupal 8の8.6.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。

 

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ