
この記事の目次
アドバイザリ ID: DRUPAL-SA-CORE-2019-011
プロジェクト: Drupal core
対象バージョン: 8.8.x-dev, 8.7.x-dev
日付: 2019年12月18日
セキュリティリスク:中程度の危険 リスクレベル 10∕25
AC:Basic/A:User/CI:Some/II:None/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性:アクセス制御の迂回
詳細
Media Library モジュールはある条件が設定された場合、メディアアイテムへのアクセス制御が不完全になります。
対応方法
以下の最新バージョンをインストールしてください。
- Drupal 8.7.xを使用中ならば Drupal 8.7.11
- Drupal 8.8.xを使用中ならば Drupal 8.8.1.
Drupal 8.7.x以前のバージョンはサポート対象外です。
代替手段として、 /admin/config/media/media-library にある "Enable advanced UI" のチェックボックスのチェックを外す方法があります。(ただし、Drupal 8.7.x では使用できません)
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2021-001)
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-010)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-004 に関しまして
- Drupalのセキュリティアップデートに関するANNAIの考え方
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-002 に関しまして
- 脆弱性SA-CORE-2018-002に関するFAQ
- Drupal 8導入前に必ず考えたい「保守」のこと
- Drupalでの開発時に避けるべき5つの間違い - セキュリティー編
Drupal 9初心者講座バックナンバー
-
Drupal初心者講座について
-
第1回 歴史に見るDrupal のDNA
-
第2回 Drupalはフレームワークか?CMSか?
-
第3回 Drupalの特徴
-
第4回 Drupal 9のインストール(1)
-
第5回 Drupal 9のインストール(2)
-
第6回 コンテンツを投稿してみる
-
第7回 ボキャブラリとタクソノミーを使う
-
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
-
第9回 Drupal 9のブロックシステム
-
第10回 Drupalの標準クエリービルダ Views
-
第11回 Drupalと他のCMSのクエリビルダー機能を比較
-
第12回 Drupal 9の多言語機能と他のCMSやサービスとの比較
-
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
-
第14回 Drupalのテーマシステムについて
-
第15回 Drupalの拡張モジュールの選定と利用方法
-
第16回 Drupalをもっと知りたい方に向けた各種情報