セキュリティーアップデート　SA-CORE-2024-003/SA-CORE-2024-004/SA-CORE-2024-006/SA-CORE-2024-007/SA-CORE-2024-008

2024年11月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。

Security advisories（公式サイト）

• https://www.drupal.org/sa-core-2024-003
• https://www.drupal.org/sa-core-2024-004
• https://www.drupal.org/sa-core-2024-006
• https://www.drupal.org/sa-core-2024-007
• https://www.drupal.org/sa-core-2024-008

脆弱性の内容

SA-CORE-2024-003について

影響度

• 中程度に重大(Moderately critical)

内容

• Drupalでは、条件が揃うとサイトにステータスメッセージを表示します。
• ステータスメッセージの表示にはJavaScript を使用していますが、表示が適切にされない脆弱性があります。
• しかし、ステータスメッセージが表示される状況は限られているため脆弱性の影響は限定的です。

対応方法

• Drupal 10.2 を使用している場合は、Drupal 10.2.11 にアップデートしてください。
• Drupal 10.3 を使用している場合は、Drupal 10.3.9 にアップデートしてください。
• Drupal 11.0 を使用している場合は、Drupal 11.0.8 にアップデートしてください。
• Drupal 7 は影響を受けません。

SA-CORE-2024-004について

影響度

• 中程度に重大(Moderately critical)

内容

• Drupalのユーザフィールドの照合は、データベースエンジンと一貫性がありません。
• その結果、ユーザは他のユーザと同じメールアドレスでアカウントを登録できる可能性があり、データの整合性の問題が発生する可能性があります。
• しかし、ユーザフィールドはサイトにログインするユーザのみが利用するため、脆弱性の影響は限定的です。

対応方法

• Drupal 10.2 を使用している場合は、Drupal 10.2.11 にアップデートしてください。
• Drupal 10.3 を使用している場合は、Drupal 10.3.9 にアップデートしてください。
• Drupal 11.0 を使用している場合は、Drupal 11.0.8 にアップデートしてください。
• Drupal 7 は影響を受けません。

SA-CORE-2024-006について

影響度

• あまり重大ではない(Less critical)

内容

• Drupal coreには、潜在的なPHPに関する脆弱性が含まれています。
• その脆弱性は、別の不正プログラムと組み合わせると、任意のファイルを削除できる可能性があります。
• しかし、別の不正プログラムを組み合わせない限り問題はないので実質影響はありません。

対応方法

• Drupal 10.2 を使用している場合は、Drupal 10.2.11 にアップデートしてください。
• Drupal 10.3 を使用している場合は、Drupal 10.3.9 にアップデートしてください。
• Drupal 11.0 を使用している場合は、Drupal 11.0.8 にアップデートしてください。
• Drupal 7 は影響を受けません。

SA-CORE-2024-007について

影響度

• 中程度に重大(Moderately critical)

内容

• Drupal coreには、潜在的なPHPに関する脆弱性が含まれています。
• その脆弱性は、別の不正プログラムと組み合わせると、リモートでコマンドを実行して、マルウェアや他の悪意のあるコードをコンピューターやネットワークに送り込む可能性があります。
• しかし、別の不正なプログラムを組み合わせない限り問題はないので、実質影響はありません。

対応方法

• Drupal 10.2 を使用している場合は、Drupal 10.2.11 にアップデートしてください。
• Drupal 10.3 を使用している場合は、Drupal 10.3.9 にアップデートしてください。
• Drupal 11.0 を使用している場合は、Drupal 11.0.8 にアップデートしてください。
• Drupal 7 は影響を受けません。

SA-CORE-2024-008について

影響度

• 中程度に重大(Moderately critical)

内容

• Drupal coreには、潜在的なPHPに関する脆弱性が含まれています。
• その脆弱性は、別の不正プログラムと組み合わせると、リモートでコマンドを実行して、マルウェアや他の悪意のあるコードをコンピューターやネットワークに送り込む可能性があります。
• しかし、別の不正なプログラムを組み合わせない限り問題はないので、実質影響はありません。

対応方法

• Drupal 7 を使用している場合は、Drupal 7.102にアップデートしてください。
• Drupal 10.2 を使用している場合は、Drupal 10.2.11にアップデートしてください。
• Drupal 10.3 を使用している場合は、Drupal 10.3.9にアップデートしてください。

弊社の対応

• 今回の対応が必要なお客様（保守契約締結済み）には、個別にご連絡致しております。