Drupal Core の脆弱性について (SA-CORE-2023-005)

アドバイザリーID: DRUPAL-SA-CORE-2023-005

プロジェクト: Drupal core
日付: 2023 年 4 月 19 日
セキュリティーリスク：中程度　リスクレベル 13 (最大 25)
13∕25 AC:Basic/A:None/CI:Some/II:None/E:Theoretical/TD:All
脆弱性：アクセス制限の迂回
影響を受けるバージョン：<7.96 || >=8.0.0 <9.4.12 || >=9.5.0 <9.5.8 || >=10.0.0 <10.0.8

詳細

ファイルダウンロード機能が特定の状況においてファイルパスを適切にサニタイズしない結果、ユーザーが本来アクセス権を持たないプライベートファイルにアクセスできる可能性があります。

サイトによっては、このセキュリティーリリースを適用後に設定を変更する必要があるかもしれません。もしアップデート適用後にプライベートファイルへのアクセスに問題が生じる場合は、ご利用の Drupal バージョンに対応するリリースノートを確認してください。

このアドバイザリーは Drupal Steward によって対応済みです。この脆弱性をもとにした広範な攻撃は可能でないため、Drupal Steward の提供パートナーは新しい WAF ルールは適用せず、モニタリングの実施のみに止まる可能性があります。

通常では、この深刻さのセキュリティー問題に対して Drupal Steward のセキュリティーカバレージを適用することはありません。ただし今回はプロセスのテストとして特例的に適用を行いました。

対応方法

Drupal 7

• Windows ウェブサーバー上の全ての Drupal 7 サイトがこの脆弱性の影響を受けます
• Linux ウェブサーバーを利用している一部の Drupal 7 サイトで、特定のディレクトリー構造を持つもの、また同様の脆弱性を持つファイルアクセス系の contrib またはカスタムモジュールを利用しているサイトが影響を受けます

Drupal 9 および 10

• Drupal 9 および 10 のサイトは、特定のファイルアクセス系の contrib またはカスタムモジュールがインストールされている場合にのみこの脆弱性の影響を受けます。

解決法

以下の最新バージョンをインストールしてください。

• Drupal 10.0 をご利用の場合は Drupal 10.0.8 へアップデートしてください
• Drupal 9.5 をご利用の場合は Drupal 9.5.8 へアップデートしてください
• Drupal 9.4 をご利用の場合は Drupal 9.4.14 へアップデートしてください
• Drupal 7 をご利用の場合は Drupal 7.96 へアップデートしてください

Drupal 9 のバージョンで 9.4.x より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。