ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2024-003

元記事:https://www.drupal.org/sa-core-2024-003
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル13 (最大25)
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
脆弱性:XSS(クロス・サイト・スクリプティング)
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

詳細

Drupalは、特定のケースや設定でステータスメッセージをレンダリングするためにJavaScriptを使用しますが、状況によっては、ステータスメッセージが十分にサニタイズされないことがあります。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
  • Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
  • Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
  • Drupal  7には影響はありません

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

アドバイザリーID: DRUPAL-SA-CORE-2024-004

元記事:https://www.drupal.org/sa-core-2024-004
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル10 (最大25)
AC:Basic/A:User/CI:None/II:Some/E:Theoretical/TD:Default
脆弱性:アクセス制限の迂回
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

詳細

Drupalの特定のユーザーフィールドに対する一意性チェックは、データベースエンジンとその照合順序によって不一致が生じることがあります。

その結果、あるユーザーが別のユーザーと同じメールアドレスで登録できてしまう可能性があります。これにより、データの整合性に問題が生じる可能性があります。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
  • Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
  • Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
  • Drupal  7には影響はありません

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

Drupalを更新しても、このバグの影響を受けた既存アカウントの潜在的な問題は解決されません。追加のガイダンスについては、Fixing emails that vary only by caseを参照してください。

アドバイザリーID: DRUPAL-SA-CORE-2024-005

元記事:https://www.drupal.org/sa-core-2024-005
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:重大 リスクレベル17 (最大25)
AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
脆弱性:XSS(クロス・サイト・スクリプティング)
影響を受けるバージョン:>=7.0 <7.102

詳細

Drupal 7のコアのOverlayモジュールは、特定の状況下でユーザー入力を安全に処理できず、反射型XSSを引き起こす可能性があります。この脆弱性の影響を受けるのは、Overlayモジュールが有効になっているサイトのみです。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 7をご利用の場合は Drupal 7.102へアップデートしてください
  • この問題を回避するために、サイト管理画面でOverlayモジュールを無効にすることもできます

OverlayモジュールはDrupal 8でコアから削除されたのでDrupal 10とDrupal 11は影響を受けません。

アドバイザリーID: DRUPAL-SA-CORE-2024-006

元記事:https://www.drupal.org/sa-core-2024-006
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:軽度 リスクレベル8 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

詳細

Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされると任意のファイル削除につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この脆弱性から保護するために、Drupalコアのいくつかのクラスのプロパティに型が追加されています。もしアプリケーションがこれらのクラスを拡張している場合、TypeErrorを避けるためにサブクラスでも同じ型を指定する必要があるかもしれません。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
  • Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
  • Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
  • Drupal  7には影響はありません

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

アドバイザリーID: DRUPAL-SA-CORE-2024-007

元記事:https://www.drupal.org/sa-core-2024-007
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル14 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

詳細

Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされるとリモートコード実行につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この脆弱性から保護するために、Drupalコアのいくつかのクラスのプロパティに型が追加されています。もしアプリケーションがこれらのクラスを拡張している場合、TypeErrorを避けるためにサブクラスでも同じ型を指定する必要があるかもしれません。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
  • Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください
  • Drupal 11.0をご利用の場合は Drupal 11.0.8へアップデートしてください
  • Drupal  7には影響はありません

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

アドバイザリーID: DRUPAL-SA-CORE-2024-008

元記事:https://www.drupal.org/sa-core-2024-008
プロジェクト: Drupal core
日付: 2024年11月20日
セキュリティーリスク:中程度 リスクレベル14 (最大25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:ガジェットチェーン
影響を受けるバージョン:>=7.0 < 7.102 || >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9

詳細

Drupalコアには、潜在的なPHPオブジェクトインジェクションの脆弱性が含まれており、他のエクスプロイトと組み合わされるとリモートコード実行につながる可能性があります。ただし、直接的に悪用されることはありません。 この問題は、攻撃者がunserialize()に対して安全でない入力を渡すことを許可する別の脆弱性が存在する場合にのみ悪用可能であるためリスクは軽減されます。Drupalコアにはそのような既知のエクスプロイトはありません。 この潜在的な脆弱性から保護するために、Drupalコアのデータベースコードにいくつかの追加チェックが加えられました。サードパーティのデータベースドライバを使用している場合、特定のケースで必要となる追加の設定手順については以下の新しいバージョンのリリースノートを確認してください。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal  7をご利用の場合は Drupal 7.102へアップデートしてください
  • Drupal 10.2をご利用の場合は Drupal 10.2.11へアップデートしてください
  • Drupal 10.3をご利用の場合は Drupal 10.3.9へアップデートしてください

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

amazee.io 
Kuniyoshi Toneの写真

この記事を書いた人: Kuniyoshi Tone

ANNAI株式会社

デジタルマーケティングを担当。金剛山を遠くに眺めて大阪からリモートワークしています。