更新日:2019年07月19日
Kuniyoshi Tone
アドバイザリ ID: DRUPAL-SA-CORE-2019-008
プロジェクト: Drupal core
日付: 2019年7月17日
セキュリティリスク:極めて危険 リスクレベル 17/25
AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性:アクセス制限の迂回
CVE IDs: CVE-2019-6342
詳細
Drupal 8.7.4 でコアの試験的モジュール Workspace が有効になっている場合、アクセス制限が迂回されてしまうことがあります。
これは Workspace モジュールをアンインストールすれば回避できます。Drupal 8.7.4 以外のリリースには影響はありません。
すなわち、Drupal 8.7.3 以前のリリース、Drupal 8.6.x 以前のリリース、Drupal 7.x には影響はありません。
対応方法
Drupal 8.7.4 を Drupal 8.7.5 にアップデートします。
注意事項
Workspace モジュールが有効になっている場合は確実にキャッシュをクリアするために update.php を実行する必要があります。もしリバースプロキシや CDN(Varnish や CloudFlare など)を使用している場合はそれらのキャッシュをクリアすることも推奨します。
この記事を書いた人 : Kuniyoshi Tone
ANNAI株式会社
企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2021-001)
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-011)
- Drupal Coreの脆弱性について(SA-CORE-2019-010)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-005)の脆弱性について
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について
Drupal 9初心者講座バックナンバー
-
Drupal初心者講座について
-
第1回 歴史に見るDrupal のDNA
-
第2回 Drupalはフレームワークか?CMSか?
-
第3回 Drupalの特徴
-
第4回 Drupal 9のインストール(1)
-
第5回 Drupal 9のインストール(2)
-
第6回 コンテンツを投稿してみる
-
第7回 ボキャブラリとタクソノミーを使う
-
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
-
第9回 Drupal 9のブロックシステム
-
第10回 Drupalの標準クエリービルダ Views
-
第11回 Drupalと他のCMSのクエリビルダー機能を比較
-
第12回 Drupal 9の多言語機能と他のCMSやサービスとの比較
-
第13回 Drupalの権限設定とWordPressやMovable
Typeとの比較
-
第14回 Drupalのテーマシステムについて
-
第15回 Drupalの拡張モジュールの選定と利用方法
-
第16回 Drupalをもっと知りたい方に向けた各種情報