オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal core 7~9

Drupal セキュリティ チームからの連絡です(日本時間 2020/11/26(木)12:26 PM)

今週は Drupal コア 7~9 の勧告が1つ出ました。

モジュール(重大性スコア)        使用サイト数


Drupal core 7.x、8.x、9.x

オンラインの原文: Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013

  • プロジェクト:Drupal core
  • バージョン:7.x、8.x、9.x(原文には記載なし)
  • 月日: 2020 年 11 月 25 日
  • セキュリティー リスク:18/25 (重大)
    AC:Complex/A:User/CI:All/II:All/E:Exploit/TD:Uncommon
  • 脆弱性の種類:任意の PHP コード実行
  • CVE ID: CVE-2020-28948、CVE-2020-28949

概要

Drupal プロジェクトは PEAR Archive_Tar ライブラリを使用している。この PEAR Archive_Tar ライブラリのセキュリティー アップデートがリリースされた。その内容が Drupal に影響する。詳細は以下のリンク先(英語)を参照。


Drupal 上で拡張子 .tar、.tar.gz、.bz2、.tlz のファイルのアップロードと処理が許可されている場合、多重の脆弱性が生じる可能性がある。

この問題に対処するため、信頼できないユーザーに対しては拡張子 .tar、.tar.gz、.bz2、.tlz のファイルをアップロードさせないように

これは SA-CORE-2019-12 とは異なる問題だが、似たような設定変更を行えば、パッチを適用するまでの間、問題を軽減できる可能性あり(Archive_Tar ライブラリだけを最新版にアップデートする)。

解決方法

最新バージョンをインストールする。

  • Drupal 9.0.x を使用している場合は、Drupal 9.0.9 にアップデートする。
  • Drupal 8.9 を使用している場合は、Drupal 8.9.10 にアップデートする。
  • Drupal 8.8 またはそれ以前の 8.x バージョンを使用している場合は、Drupal 8.8.12 にアップデートする。
  • Drupal 7.x を使用している場合は、Drupal 7.75 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。

11 月 25 日は通常のセキュリティー リリース スケジュールに沿っていないが、今回は悪用された例が知られており、Drupal の構成によっては脆弱性があるため、リリースが必要と判断した。