セキュリティーアップデートSA-CORE-2022-016

2022年9月29日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。

Security advisories（公式サイト）

• https://www.drupal.org/sa-core-2022-016

脆弱性の内容

SA-CORE-2022-016

影響度

• 致命的(Critical)

内容と問題

• Drupalは、コンテンツのテンプレート化とサニタイズにTwigというサードパーティライブラリを使用しており、Twigに脆弱性の問題が発生しました。このため、Drupalに影響するセキュリティアップデートをリリースしました。

• ユーザが悪意を持って Twig コードの書き込みにアクセスした場合、プライベートファイル、サーバ上の他のファイルの内容、またはデータベース認証情報への不正な読み取りアクセスの可能性を含む、複数の脆弱性が発生する可能性があります。

• この脆弱性は、Twigファイルにアクセスできる管理権限でのみ利用可能であるため、影響は限定的です。 （弊社では追加モジュールでTwigファイルのアクセスを許可しているモジュールはありません。）

対応方法

• Drupal 9.4を使用している場合は、Drupal9.4.7に更新してください。
• Drupal 9.3を使用している場合は、Drupal9.3.22に更新してください。

弊社の対応

• 今回の対応が必要なお客様（保守契約締結済み）には、個別にご連絡致しております。