DRUPAL-SA-CORE-2016-003

2016年7月18日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-003
●プロジェクト　：　Drupal core
●バージョン　：　8.x
●投稿日　　　：　2016/7/18
●セキュリティリスク：　Highly Critical
●脆弱性　　　：　Injection

==概要==
Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。
攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。

影響を受けるバージョンは、
Drupal core 8.1.7よりも前のDrupal 8.xバージョンです。

解決策：
・Drupal 8.x を使用している場合は、Drupal コア 8.1.7 に更新してください。
・Drupal 7.x を使用している場合は、Drupal コアへの影響はありません。
サーバー上のモジュールや他のソフトウェアがこの問題の影響を受ける可能性があるからです。例えば、Apache を使っているサイトには、以下のコードを .htaccess に追加するとよいでしょう。

<IfModule mod_headers.c>
  RequestHeader unset Proxy
</IfModule>

・Drupal core 8.0.x を使用している場合はどうなるのでしょうか？
Drupal core 8.0.x は、もうサポートされていません。8.1.7 に更新して最新のセキュリティ修正とバッグフィックスを適用してください。

・リリース予定が水曜日ではなく月曜日なのはどうしてですか。
Drupal セキュリティ チームでは、セキュリティ アドバイザリは通常水曜日にリリースします。ただ、この脆弱性の影響範囲が Drupal以外にも及ぶため、Guzzle の開発者と問題を報告してくれた人とで調整して月曜日に公表することにしました。
そのため本日、セキュア バージョンの Guzzleへ更新する Drupal コア リリースを公開します。

==元記事==

https://www.drupal.org/SA-CORE-2016-003