ANNAIマガジン
Drupal Core(SA-CORE-2019-008)
この記事は「 Drupal core - Critical - Access bypass - SA-CORE-2019-008 」の翻訳です。
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-008
プロジェクト: Drupal core
日付: 2019年7月17日
セキュリティリスク:極めて危険 リスクレベル 17/25
AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:アクセス制限の迂回
CVE IDs: CVE-2019-6342

詳細

Drupal 8.7.4 でコアの試験的モジュール Workspace が有効になっている場合、アクセス制限が迂回されてしまうことがあります。

これは Workspace モジュールをアンインストールすれば回避できます。Drupal 8.7.4 以外のリリースには影響はありません。

すなわち、Drupal 8.7.3 以前のリリース、Drupal 8.6.x 以前のリリース、Drupal 7.x には影響はありません。

対応方法

Drupal 8.7.4 を Drupal 8.7.5 にアップデートします。

注意事項

Workspace モジュールが有効になっている場合は確実にキャッシュをクリアするために update.php を実行する必要があります。もしリバースプロキシや CDN(Varnish や CloudFlare など)を使用している場合はそれらのキャッシュをクリアすることも推奨します。

 

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ