Kuniyoshi Tone
アドバイザリ ID: DRUPAL-SA-CORE-2019-008
プロジェクト: Drupal core
日付: 2019年7月17日
セキュリティリスク:極めて危険 リスクレベル 17/25
AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性:アクセス制限の迂回
CVE IDs: CVE-2019-6342
詳細
Drupal 8.7.4 でコアの試験的モジュール Workspace が有効になっている場合、アクセス制限が迂回されてしまうことがあります。
これは Workspace モジュールをアンインストールすれば回避できます。Drupal 8.7.4 以外のリリースには影響はありません。
すなわち、Drupal 8.7.3 以前のリリース、Drupal 8.6.x 以前のリリース、Drupal 7.x には影響はありません。
対応方法
Drupal 8.7.4 を Drupal 8.7.5 にアップデートします。
注意事項
Workspace モジュールが有効になっている場合は確実にキャッシュをクリアするために update.php を実行する必要があります。もしリバースプロキシや CDN(Varnish や CloudFlare など)を使用している場合はそれらのキャッシュをクリアすることも推奨します。
この記事を書いた人 : Kuniyoshi Tone
ANNAI株式会社
企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。
関連コンテンツ
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-005)の脆弱性について
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について
- Drupal Coreの脆弱性-SA-CORE-2018-006に対するANNAIの対応
- Drupal Coreの脆弱性-SA-CORE-2018-006
- Drupal Coreの脆弱性-SA-CORE-2018-005に対するANNAIの対応
- Drupal Coreの脆弱性-SA-CORE-2018-005
- Drupal8セキュリティ情報 2018年8月1日(水) - DRUPAL-PSA-2018-07-30
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報