2022年7月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。
Security advisories(公式サイト)
- https://www.drupal.org/sa-core-2022-012
- https://www.drupal.org/sa-core-2022-013
- https://www.drupal.org/sa-core-2022-014
- https://www.drupal.org/sa-core-2022-015
脆弱性の内容
SA-CORE-2022-012について
影響度
- 中程度(Moderately critical)
内容と問題
- 登録している画像ファイルからコピーして画像を作成する場合に、登録元の画像ファイルのアクセス権限がない場合でもコピーできる可能性があります。ただし、非公開ファイルとして登録されている場合は影響ありません。
- Drupalにログインしてコンテンツ作成できるユーザが、この脆弱性を利用しない限りは影響は限定的です。
対応方法
- Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
- Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。
- Drupal 7を使用している場合は、Drupal7.91に更新してください。
SA-CORE-2022-013について
影響度
- 中程度(Moderately critical)
内容と問題
- 追加モジュールやカスタムモジュール、追加テーマで作成されたフォーム(入力画面や設定画面)において、特定の状況下において、フォーム要素に本来アクセスできないはずのデータを変更できてしまう可能性があります。
- 通常のコンテンツ入力画面での影響はありません。こちらも、限定的な問題と認識しております。(なお、特定の条件下についての詳細な情報はありません)
対応方法
- Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
- Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。
SA-CORE-2022-014について
影響度
- 致命的(critical)
内容と問題
- コンテンツ作成時のファイルアップロードで、htaccessの拡張子(例 abc.htaccessなど)を許してアップロードが可能な場合に、システム管理の.htaccessのファイルを上書きされて、リモートコードが実行できる脆弱性があります。
- なお、本サイトでhtaccess拡張子のアップロードを許していないため、本脆弱性については影響がありません。criticalの問題ですが、影響ないためご安心ください。
対応方法
- Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
- Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。
SA-CORE-2022-015について
影響度
- 中程度(Moderately critical)
内容と問題
- DrupalのMediaを利用して、iframe機能を利用している場合に、クロスサイトスクリプティング、クッキーの漏洩、その他の脆弱性につながる可能性があります。
- DrupalのMediaを利用して、youtubeの埋め込み引用している場合に影響があります。
- Drupalにログインしてコンテンツ作成できるユーザが、この脆弱性を利用しない限りは影響は限定的です。
対応方法
- Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
- Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。
弊社の対応
- 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。