Drupal セキュリティ チームからの連絡です(日本時間 2021/01/21(木)02:20 AM)
今週は Drupal コア 7~9 の勧告が1つ出ました。
モジュール(重大性スコア) 使用サイト数
- Drupal core 7.x、8.x、9.x (18/25 重大) 1,012,945 サイト
Drupal core 7.x、8.x、9.x
オンラインの原文: Drupal core - Critical - Third-party libraries - SA-CORE-2021-001
- プロジェクト:Drupal core
- バージョン:7.x、8.x、9.x(原文には記載なし)
- 月日: 2021 年 01 月 20 日
- セキュリティー リスク:18/25 (重大)
AC:Complex/A:User/CI:All/II:All/E:Exploit/TD:Uncommon - 脆弱性の種類:3rd Party ライブラリ
- CVE ID: CVE-2020-36193
概要
Drupal プロジェクトは PEAR Archive_Tar ライブラリを使用している。この PEAR Archive_Tar ライブラリのセキュリティー アップデートがリリースされた。その内容が Drupal に影響する。詳細は以下のリンク先(英語)を参照。
1.4.11までのArchive_Tarライブラリは、シンボリックリンクのチェックが不十分なため、ディレクトリトラバーサルでの書き込み操作が可能。
Drupalで拡張子:.tar, .tar.gz, .bz2, .tlz のアップロードを許可している場合、この脆弱性に対する攻撃が可能となる。
解決方法
最新バージョンをインストールする。
- Drupal 9.1.x を使用している場合は、Drupal 9.1.3 にアップデートする。
- Drupal 9.0.x を使用している場合は、Drupal9.0.11 にアップデートする。
- Drupal 8.9.x を使用している場合は、Drupal8.9.13 にアップデートする。
- Drupal 7.x を使用している場合は、 Drupal 7.78 にアップデートする。
8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。