Drupal Core の脆弱性について (SA-CORE-2021-004)

この記事は「 Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004 」の翻訳です。

この記事の目次

こんにちは、「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」サポート担当の刀祢(とね)です。

Drupal セキュリティーチームから Drupal コアのセキュリティーアドバイザリー（SA-CORE-2021-004）が発表されました。対象となっている Drupal をお使いの方はアップデートを実施してください。

アドバイザリーID: DRUPAL-SA-CORE-2021-004

プロジェクト: Drupal core
日付: 2021年 7 月 21 日
セキュリティーリスク：危険　リスクレベル 15 (最大 25)
AC:Complex/A:User/CI:All/II:All/E:Theoretical/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性：Drupal コアのサードパーティーライブラリーに関連する重大な脆弱性

詳細

Drupal プロジェクトでは PEAR の Archive_Tar ライブラリーを使用していますが、Drupal に影響を与えるセキュリティーアップデートがリリースされました。
Drupal コアが Archive_Tar ライブラリーを使用する場合には、シンボリックリンクを許可していないため、この脆弱性の影響は緩和されています。
Contributed モジュールやカスタムモジュールが、信頼できないおそれのあるソースから送られてきた tar アーカイブ（.tar、.tar.gz、.bz2、.tlz など）を抽出するためにこのライブラリーを使用している場合は悪用される可能性があります。