Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002
==元記事==
https://www.drupal.org/sa-core-2019-002
2019/1/16(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2019/1/16
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
信頼できないphar:// URIでファイル操作を実行する際に、PHPに組み込まれているpharストリームラッパーにリモートでコードが実行される脆弱性が存在します。
Drupalコード(core、contrib、およびcustom)の中には、検証が不十分なユーザ入力に対してファイル操作を実行している可能性があるため、この脆弱性にさらされるものがあります。
この脆弱性は、そのようなコードパスが通常管理者権限または特殊な設定へのアクセスすることで緩和されます。
==解決方法==
・Drupal 8.6.xを使用している場合は、Drupal 8.6.6にアップグレードしてください。
・Drupal 8.5.xより前のバージョンを使用している場合は、Drupal 8.5.9にアップグレードしてください。
・Drupal 7xを使用している場合は、Drupal 7.62.にアップグレードしてください。
8.5.xより前のDrupal 8のバージョンはサポートが終了しており、セキュリティの対象とはなりません。
phar:// PHP 5.3.2以前のDrupal 7サイトでは、ストリームラッパーがデフォルトで無効になっています
ストリームラッパーは、PHPバージョン5.3.3より前のバージョンと互換性がありません。Drupal 8はそれよりも高いバージョンのPHPを必要としますが、それより古いバージョンのPHPを使用するDrupal 7サイトでは、組み込みpharストリームラッパーは置き換えられるのではなく無効にされています。pharサポートを必要とするPHP 5.2(またはPHP 5.3.0-5.3.2)を使用しているDrupal 7サイトでは、ストリームラッパーを再度有効にする必要があります。ただし、ストリームラッパーを再度有効にすると、それらのPHPバージョンでの安全でないPHPの動作が再度有効になります。
5.3.3より前のバージョンのPHPを実行していること、およびpharサポートが必要なことの両方はめったにありません。このような状況にある場合は、安全でないpharサポートを復元するのではなく、PHPバージョンをアップグレードすることを検討してください。