2022年7月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。

Security advisories(公式サイト)

脆弱性の内容

SA-CORE-2022-012について

影響度
  • 中程度(Moderately critical)
内容と問題
  • 登録している画像ファイルからコピーして画像を作成する場合に、登録元の画像ファイルのアクセス権限がない場合でもコピーできる可能性があります。ただし、非公開ファイルとして登録されている場合は影響ありません。
  • Drupalにログインしてコンテンツ作成できるユーザが、この脆弱性を利用しない限りは影響は限定的です。
対応方法
  • Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
  • Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。
  • Drupal 7を使用している場合は、Drupal7.91に更新してください。

SA-CORE-2022-013について

影響度
  • 中程度(Moderately critical)
内容と問題
  • 追加モジュールやカスタムモジュール、追加テーマで作成されたフォーム(入力画面や設定画面)において、特定の状況下において、フォーム要素に本来アクセスできないはずのデータを変更できてしまう可能性があります。
  • 通常のコンテンツ入力画面での影響はありません。こちらも、限定的な問題と認識しております。(なお、特定の条件下についての詳細な情報はありません)
対応方法
  • Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
  • Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。

SA-CORE-2022-014について

影響度
  • 致命的(critical)
内容と問題
  • コンテンツ作成時のファイルアップロードで、htaccessの拡張子(例 abc.htaccessなど)を許してアップロードが可能な場合に、システム管理の.htaccessのファイルを上書きされて、リモートコードが実行できる脆弱性があります。
  • なお、本サイトでhtaccess拡張子のアップロードを許していないため、本脆弱性については影響がありません。criticalの問題ですが、影響ないためご安心ください。
対応方法
  • Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
  • Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。

SA-CORE-2022-015について

影響度
  • 中程度(Moderately critical)
内容と問題
  • DrupalのMediaを利用して、iframe機能を利用している場合に、クロスサイトスクリプティング、クッキーの漏洩、その他の脆弱性につながる可能性があります。
  • DrupalのMediaを利用して、youtubeの埋め込み引用している場合に影響があります。
  • Drupalにログインしてコンテンツ作成できるユーザが、この脆弱性を利用しない限りは影響は限定的です。
対応方法
  • Drupal 9.4を使用している場合は、Drupal9.4.3に更新してください。
  • Drupal 9.3を使用している場合は、Drupal9.3.19に更新してください。

弊社の対応

  • 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。