Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005

2020-06-22
Critical
コア

2020/6/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/6/17
●セキュリティリスク : Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

Drupal 8および9には、特定の状況下でリモートでコードが実行される脆弱性があります。

攻撃者は、管理者をだまして悪意のあるサイトにアクセスさせ、ファイルシステム上に慎重に名前が付けられたディレクトリを作成する可能性があります。 このディレクトリが配置されている場合、攻撃者はリモートコード実行の脆弱性を総当たり攻撃する可能性があります。

Windowsサーバーが影響を受ける可能性が最も高いです。

==解決方法==
最新バージョンをインストールしましょう。

Drupal 8.8.xを使用している場合は、Drupal 8.8.8.にアップグレードしましょう。
Drupal 8.9.xを使用している場合は、Drupal 8.9.1.にアップグレードしましょう。
Drupal 9.0.xを使用している場合は、Drupal 9.0.1.にアップグレードしましょう。

8.8.xより前のバージョンのDrupal 8は廃止されており、セキュリティの対象にはなりません。 8.7.x以前のサイトは8.8.8に更新する必要があります。

==元記事==
https://www.drupal.org/sa-core-2020-005