ANNAIマガジン
security-protection-anti-virus-software
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-012

プロジェクト: Drupal core
対象バージョン: 8.8.x-dev, 8.7.x-dev, 7.x-dev
日付: 2019年12月18日
セキュリティリスク:極めて危険 リスクレベル 17∕25
AC:Basic/A:User/CI:All/II:All/E:Proof/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:複数の脆弱性

詳細

Drupalが使用しているサードパーティーのライブラリ Archive_Tar のセキュリティが改善され、これによりいくつかの Drupal コアの構成が保護されます。

Drupal が  tar・tar.gz・bz2・tlz の拡張子を持つファイルをアップロードし処理するように構成されている場合に複数の脆弱性が存在する可能性があります。

最新の Drupal は Archive_Tar を 1.4.9 にアップデートしたのでこれらのファイル処理についての脆弱性を回避します。

対応方法

以下の最新バージョンをインストールしてください。

Drupal 8.7.x以前の Drupal 8 はサポート対象外です。

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ