Drupal Core の脆弱性について (SA-CORE-2022-016)

ANNAI

ANNAI株式会社

セキュリティ保護のイメージ
この記事は「 Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016 」の翻訳です。
 

アドバイザリーID: DRUPAL-SA-CORE-2022-016

プロジェクト: Drupal core 
日付: 2022 年 9 月 28日 
セキュリティーリスク:重大 リスクレベル 18 (最大 25) 
AC:Basic/A:Admin/CI:All/II:All/E:Proof/TD:All 
脆弱性:複数の脆弱性 
CVE-2022-39261

詳細

Drupal はコンテンツのテンプレート化とサニタイズに Twig というサードパーティライブラリを使用しています。Twig は Drupal に影響する セキュリティーアップデートをリリースしました 。Twig はこの脆弱性を「緊急度が高い」と評価しています。

Twig を拡張している Drupal コアのコードも、関連する脆弱性を軽減するために更新されました。

信頼できないユーザが Twig コードの書き込み権限を持つ場合に、プライベートファイル、サーバー上のファイルの内容、またはデータベース認証情報の不正な読み取りなどの、複数の脆弱性が発生する可能性があります。

この脆弱性は Drupal core の限定的なアクセス管理権限でのみ利用可能であるため、リスクは軽減されています。これにより、ユーザが Twig テンプレートを書くことができるコントリビューションコードやカスタムコードには、さらなる攻撃手段が存在する可能性があります。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.4 をご利用の場合は Drupal 9.4.7 へアップデートしてください
  • Drupal 9.3 をご利用の場合は Drupal 9.3.22 へアップデートしてください

Drupal 9 のバージョンで 9.3.x より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。 Drupal 8 もすでにサポートが終了している ことにご注意下さい。

Drupal 7 のコアは Twig を含まないのでこの脆弱性の影響はありません。

 

annai

ANNAI

ANNAI株式会社

ANNAIは、2009年からDrupal専門のWebシステム開発会社として、世界規模で展開するグローバル企業や大学・自治体を中心に数多くのWebソリューションを提供。 CoreやModuleのコントリビューターなど、Drupalエキスパートが多数在籍。国内ユーザーコミュニティへも積極的にコミットし、定期的なセミナーの等の開催を通じて、オープンソース技術の普及や海外コミュニティとの緊密な連携を図っている。 Webシステムの企画・開発〜デザイン、クラウド運用までをワンストップで提供する他、Drupalのコーディングを評価する"Audit業務"や最適なモジュールの調査・選定等、幅広いコンサルティング