Drupal Core の脆弱性について (SA-CORE-2022-012)

アドバイザリーID: DRUPAL-SA-CORE-2022-012

プロジェクト: Drupal core
日付: 2022 年 7 月 20日
セキュリティーリスク：中程度　リスクレベル 13 (最大 25)
AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon
脆弱性：情報漏洩
CVE IDs:CVE-2022-25275

詳細

画像スタイルを使用して様々な画像を生成する際、標準のパブリックファイルディレクトリに保存されていない画像ファイルへのアクセス権を、イメージモジュールが正しくチェックしない場合があります。

非公開ファイルへのアクセス権は、それが "private" ファイルシステムに格納されている場合のみチェックされます。しかし、一部のコントリビュートモジュールでは、追加のファイルシステム、またはスキームを提供しており、この脆弱性が発生する可能性があります。

この脆弱性は、サイトが Drupal 9 の場合は

$config['image.settings']['allow_insecure_derivatives']

Drupal 7 の場合は

$conf['image_allow_insecure_derivatives']

を TRUE に設定した場合にのみ発生します。従って、推奨されるデフォルトの設定は FALSE ですが、管理 UI でこれを変更する方法はありません。

このセキュリティリリースに伴い、一部のサイトでは設定の変更が必要になる場合があります。アップデート後にファイルや画像スタイルへのアクセスに問題がある場合は、お使いの Drupal のバージョンのリリースノートを確認してください。

対応方法

以下の最新バージョンをインストールしてください。

• Drupal 9.4 をご利用の場合は Drupal 9.4.3 へアップデートしてください
• Drupal 9.3 をご利用の場合は Drupal 9.3.19 へアップデートしてください
• Drupal 7 をご利用の場合は Drupal 7.91 へアップデートしてください

Drupal 9 のバージョンで 9.3.x より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。