ANNAIマガジン
security-protection-anti-virus-software
この記事の目次

アドバイザリー ID: DRUPAL-SA-CORE-2021-001


プロジェクト: Drupal core
日付: 2021年1月20日
セキュリティーリスク:危険 リスクレベル 18(最大25)
AC:Complex/A:User/CI:All/II:All/E:Exploit/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:サードパーティー・ライブラリー

詳細


Drupal プロジェクトは PEAR Archive_Tar ライブラリーを使用しています。PEAR Archive_Tar ライブラリーは、Drupal に影響を与えるセキュリティーアップデートをリリースしました。詳細は以下を参照してください。

Drupal が .tar, .tar.gz, .bz2, .tlz の拡張子を持つファイルのアップロードを許可して処理するように設定されている場合、外部からの攻撃が可能となる恐れがあります。


対応方法

最新版をインストールします。

  • Drupal 9.1 を使用している場合は、Drupal 9.1.3 にアップデートしてください。
  • Drupal 9.0 を使用している場合は、Drupal 9.0.11  にアップデートしてください。
  • Drupal 8.9 以前をお使いの場合は、Drupal 8.9.13 にアップデートしてください。
  • Drupal 7 を使用している場合は、Drupal 7.78 にアップデートしてください。

8.9.x より古い Drupal 8 のバージョンはサポートが終了していますのでセキュリティーアップデートは提供されません。

脆弱性を緩和するためには、.tar, .tar.gz, .bz2, .tlz ファイルのアップロードを無効にしてください。

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ