ANNAIマガジン
  1. ホーム
  2. ANNAIマガジン
  3. Drupal Core の脆弱性について (SA-CORE-2021-004)
Check:『ANNAI × amazee.io』で利益を増やす!▶▷▶ 詳しく見る
amazee.io
投稿日:   
更新日:
Kuniyoshi Toneの写真 Kuniyoshi Tone

Drupal Core の脆弱性について (SA-CORE-2021-004)

The word 'security' on the screen
この記事は「 Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004 」の翻訳です。
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2021-004

プロジェクト: Drupal core
日付: 2021年 7 月 21 日
セキュリティーリスク:危険 リスクレベル 15 (最大 25) 
AC:Complex/A:User/CI:All/II:All/E:Theoretical/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:Drupal コアのサードパーティーライブラリーに関連する重大な脆弱性

詳細

Drupal プロジェクトでは PEAR の Archive_Tar ライブラリーを使用していますが、Drupal  に影響を与えるセキュリティーアップデートがリリースされました。
Drupal コアが Archive_Tar ライブラリーを使用する場合には、シンボリックリンクを許可していないため、この脆弱性の影響は緩和されています。
Contributed モジュールやカスタムモジュールが、信頼できないおそれのあるソースから送られてきた tar アーカイブ(.tar、.tar.gz、.bz2、.tlz など)を抽出するためにこのライブラリーを使用している場合は悪用される可能性があります。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.2 をご利用の場合は Drupal 9.2.2へアップデートしてください
  • Drupal 9.1 をご利用の場合は Drupal 9.1.11 へアップデートしてください
  • Drupal 8.9 をご利用の場合は Drupal 8.9.17 へアップデートしてください
  • Drupal 7 をご利用の場合は Drupal 7.82 へアップデートしてください

Drupal 8 の 8.9.x 以前のバージョンと Drupal 9 の 9.1.x 以前のバージョンはサポート対象外です。

amazee.io 
Kuniyoshi Toneの写真

この記事を書いた人: Kuniyoshi Tone

ANNAI株式会社

デジタルマーケティングを担当。金剛山を遠くに眺めて大阪からリモートワークしています。

 

Drupal 初心者講座バックナンバー