オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告(SA-CORE-2021-001):Drupal core 7~9

Drupal セキュリティ チームからの連絡です(日本時間 2021/01/21(木)02:20 AM)

今週は Drupal コア 7~9 の勧告が1つ出ました。

モジュール(重大性スコア)        使用サイト数

 

Drupal core 7.x、8.x、9.x

 

オンラインの原文: Drupal core - Critical - Third-party libraries - SA-CORE-2021-001

 

概要

 

Drupal プロジェクトは PEAR Archive_Tar ライブラリを使用している。この PEAR Archive_Tar ライブラリのセキュリティー アップデートがリリースされた。その内容が Drupal に影響する。詳細は以下のリンク先(英語)を参照。

 

 

1.4.11までのArchive_Tarライブラリは、シンボリックリンクのチェックが不十分なため、ディレクトリトラバーサルでの書き込み操作が可能。

Drupalで拡張子:.tar, .tar.gz, .bz2, .tlz のアップロードを許可している場合、この脆弱性に対する攻撃が可能となる。

 

解決方法

最新バージョンをインストールする。

 

  • Drupal 9.1.x を使用している場合は、Drupal 9.1.3 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal9.0.11 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal8.9.13 にアップデートする。
  • Drupal 7.x を使用している場合は、 Drupal 7.78 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。