Drupalは、オンラインパブリッシングプラットフォームにおける2つのセキュリティ脆弱性に対処するため、2つのアップデートをリリースしました。これらの脆弱性は少々難解で、ほとんどのサイトには影響しませんが、将来的に悪用される可能性のある機能を追加する場合に備えて、パッチを適用しておくことをお勧めします。
Drupal.orgとUS-CERTは、管理者に対し、Drupalコアの2つの修正プログラムをテストし、インストールするよう勧告しています。どちらも、リモートコード実行に悪用される可能性のある脆弱性に関するものです。バグID番号からわかるように、これらのアップデートは今年最初のDrupalコア修正プログラムであり、Drupalのセキュリティチームによって発見されました。
最初のアップデート2019-001は、PEAR Archive_Tarライブラリの脆弱性に対処しています。CVE-2018-1000888が割り当てられたこのセキュリティホールは、悪意のあるtarファイルによって、アーカイブの抽出時にデシリアライズの不備を悪用され、リモートコード実行に利用される可能性があります。ウェブサイトがtarアーカイブを扱わない場合は、おそらく問題ないと思われますが、いずれにしても修正プログラムをインストールすることをお勧めします。
2019-001 では、Drupal コアで使用される PEAR Archive_Tar のバージョンが脆弱性のないビルドに更新されます。リモートからのデータ削除も可能です。
2つ目の修正2019-002は、Drupalコアがphar://ファイル操作におけるURIを処理する方法に存在する脆弱性に対処します。脆弱性のあるスクリプトが悪意を持って作成された文字列をユーザーからファイル操作に渡すことで、このバグがトリガーされ、リモートコード実行が可能になります。
Drupalが広範囲に公開されたウェブサイトの報告に異議を唱える – うわあ
続きを読む
このパッチは重要と考えられていますが、すべての Drupal インスタンスが攻撃に対して脆弱というわけではありません。ほとんどの Web アプリケーションは、 のようなプロトコルのように見えるものを削除せずに、ユーザー入力をファイル呼び出しに投げ込むことはありませんphar://。
「一部のDrupalコード(コア、コントリビュート、カスタム)は、十分に検証されていないユーザー入力に基づいてファイル操作を実行している可能性があり、その結果、この脆弱性の影響を受ける可能性があります」とアドバイザリには記載されています。「このようなコードパスは通常、管理者権限または非定型的な設定へのアクセスを必要とするため、この脆弱性の影響は軽減されます。」
Drupal は、phar ストリーム ラッパーの更新に加えて、.phar 拡張子を「危険」ステータスに上げることを選択しました。つまり、.phar 拡張子でアップロードされたすべてのファイルは、誤って実行されるのを防ぐためにテキストに変換されます。
Drush シェル経由のアップデートがエラーのために失敗するという報告が複数あるため、管理者はアップデートが正常にインストールされたことを再確認することをお勧めします。®
