Drupal Core の脆弱性について (SA-CORE-2022-011)

この記事は「 Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-011 」の翻訳です。

この記事の目次

こんにちは、「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」サポート担当の刀祢(とね)です。

Drupal セキュリティーチームから Drupal コアのセキュリティーアドバイザリー（SA-CORE-2022-011）が発表されました。対象となっている Drupal をお使いの方はアップデートを実施してください。

アドバイザリーID: DRUPAL-SA-CORE-2022-011

プロジェクト: Drupal core
日付: 2022 年 6 月 10日
セキュリティーリスク：中程度　リスクレベル 13 (最大 25)
AC:Complex/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
脆弱性：サードパーティーのライブラリ
CVE IDs:CVE-2022-31042
CVE-2022-31043

詳細

Drupal は、外部サービスへの HTTP リクエストとレスポンスの処理に、サードパーティー製の Guzzle ライブラリを使用しています。Guzzle は 2 つのセキュリティーアドバイザリーを公開しています。

これらは Drupal のコアには影響しませんが、一部のコントリビュートモジュールや Drupal サイト上のカスタムコードに影響する可能性があります。

Guzzle がすでに脆弱性に関する情報を公開しており、Guzzle を送信リクエストに使用しているコントリビュートモジュールやカスタムモジュールに脆弱性が存在する可能性があるため、通常の Drupal セキュリティーリリースのスケジュール外でこのセキュリティアドバイザリを発行しています。Guzzle はこれらの脆弱性を高リスクと評価しています。

対応方法

以下の最新バージョンをインストールしてください。

Drupal 9.4 をご利用の場合は Drupal 9.4.0-rc2 へアップデートしてください
Drupal 9.3 をご利用の場合は Drupal 9.3.16 へアップデートしてください
Drupal 9.2 をご利用の場合は Drupal 9.2.21 へアップデートしてください

Drupal 9 のバージョンで 9.2 より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。

Drupal 7 には影響はありません。

上級ユーザーの方は、一時的に drupal/core-recommended ではなく drupal/core を使用し、その後 Guzzle を希望のバージョンにアップデートすることでこの問題を回避することも可能です。Drupal 9.4 で Guzzle を管理するための詳しい情報はこちらです。

Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN