アドバイザリーID: DRUPAL-SA-CORE-2024-003
元記事:https://www.drupal.org/sa-core-2024-003
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル13 (最大25)
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
脆弱性:XSS(クロス・サイト・スクリプティング)
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8
詳細
Drupalは、特定のケースや設定でステータスメッセージをレンダリングするためにJavaScriptを使用しますが、状況によっては、ステータスメッセージが十分にサニタイズされないことがあります。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
- Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
- Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
- Drupal 7には影響はありません
Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。
アドバイザリーID: DRUPAL-SA-CORE-2024-004
元記事:https://www.drupal.org/sa-core-2024-004
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル10 (最大25)
AC:Basic/A:User/CI:None/II:Some/E:Theoretical/TD:Default
脆弱性:アクセス制限の迂回
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8
詳細
Drupalの特定のユーザーフィールドに対する一意性チェックは、データベースエンジンとその照合順序によって不一致が生じることがあります。
その結果、あるユーザーが別のユーザーと同じメールアドレスで登録できてしまう可能性があります。これにより、データの整合性に問題が生じる可能性があります。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
- Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
- Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
- Drupal 7には影響はありません
Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。
Drupalを更新しても、このバグの影響を受けた既存アカウントの潜在的な問題は解決されません。追加のガイダンスについては、Fixing emails that vary only by caseを参照してください。
アドバイザリーID: DRUPAL-SA-CORE-2024-005
元記事:https://www.drupal.org/sa-core-2024-005
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:重大 リスクレベル17 (最大25)
AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
脆弱性:XSS(クロス・サイト・スクリプティング)
影響を受けるバージョン:>=7.0 <7.102
詳細
Drupal 7のコアのOverlayモジュールは、特定の状況下でユーザー入力を安全に処理できず、反射型XSSを引き起こす可能性があります。この脆弱性の影響を受けるのは、Overlayモジュールが有効になっているサイトのみです。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 7をご利用の場合は Drupal 7.102へアップデートしてください
- この問題を回避するために、サイト管理画面でOverlayモジュールを無効にすることもできます
OverlayモジュールはDrupal 8でコアから削除されたのでDrupal 10とDrupal 11は影響を受けません。
アドバイザリーID: DRUPAL-SA-CORE-2024-006
元記事:https://www.drupal.org/sa-core-2024-006
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:軽度 リスクレベル8 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8
詳細
Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされると任意のファイル削除につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この脆弱性から保護するために、Drupalコアのいくつかのクラスのプロパティに型が追加されています。もしアプリケーションがこれらのクラスを拡張している場合、TypeErrorを避けるためにサブクラスでも同じ型を指定する必要があるかもしれません。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
- Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
- Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
- Drupal 7には影響はありません
Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。
アドバイザリーID: DRUPAL-SA-CORE-2024-007
元記事:https://www.drupal.org/sa-core-2024-007
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル14 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8
詳細
Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされるとリモートコード実行につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この脆弱性から保護するために、Drupalコアのいくつかのクラスのプロパティに型が追加されています。もしアプリケーションがこれらのクラスを拡張している場合、TypeErrorを避けるためにサブクラスでも同じ型を指定する必要があるかもしれません。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
- Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
- Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
- Drupal 7には影響はありません
Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。
アドバイザリーID: DRUPAL-SA-CORE-2024-008
元記事:https://www.drupal.org/sa-core-2024-008
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル14 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>=7.0 < 7.102 || >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9
詳細
Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされるとリモートコード実行につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この潜在的な脆弱性から保護するために、Drupalコアのデータベースコードにいくつかの追加チェックが加えられました。サードパーティのデータベースドライバを使用している場合、特定のケースで必要となる追加の設定手順については以下の新しいバージョンのリリースノートを確認してください。
解決法
以下の最新バージョンをインストールしてください。
- Drupal 7をご利用の場合は Drupal 7.102へアップデートしてください
- Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
- Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。
おすすめ記事
関連コンテンツ
- 大規模Drupalサイトのセキュリティ - 運用負荷を抑えた堅牢な環境構築
- モジュールとテーマのセキュリティ:Drupalでの安全なカスタマイズ
- Drupal Core の脆弱性について (SA-CORE-2024-002)
- バックアップとリカバリー:Drupalでデータを安全に保護する方法
- Drupalのアップデートとメンテナンスの方法
- Drupalの安全性を支えるコミュニティーの取り組み
- Drupal Core の脆弱性について (SA-CORE-2024-001)
- Drupal Core の脆弱性について (SA-CORE-2023-006)
- Drupal 導入前に必ず考えたい「保守」のこと
- Drupal Core の脆弱性について (SA-CORE-2023-005)
Drupal 初心者講座バックナンバー
- Drupal 9/10 初心者講座
- 第 1 回 歴史に見る Drupal の DNA
- 第 2 回 Drupal はフレームワークか?CMS か?他の CMS との比較
- 第 3 回 Drupal の特徴
- 第 4 回 Drupal 9 / 10 のインストール (1)
- 第 5 回 Drupal 9 / 10 のインストール (2)
- 第 6 回 Drupal にコンテンツを投稿してみる
- 第 7 回 Drupal のボキャブラリとタクソノミーの使い方
- 第 8 回 コンテンツ管理における Drupal と他の CMS との比較
- 第 9 回 Drupal のブロックシステム
- 第 10 回 Drupal の標準クエリビルダー Views の使い方
- 第 11 回 Drupal と他の CMS のクエリビルダー機能を比較
- 第 12 回 Drupal の多言語機能と他の CMS やサービスとの比較
- 第 13 回 Drupal の権限設定と WordPress や Movable Type との比較
- 第 14 回 Drupal のテーマシステムについて
- 第 15 回 Drupal の拡張モジュールの選定と使い方
- 第 16 回 Drupal をもっと知りたい方に向けた各種情報