Drupal core - Critical - Remote code execution - SA-CORE-2020-012

Critical
コア

2020/11/18(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote code execution

==概要==

11月18日更新:危険なファイル拡張子のより長いリストを文書化。

Drupalコアは、アップロードされたファイルの特定のファイル名を適切にサニタイズしません。これにより、ファイルが誤った拡張子として解釈され、誤ったMIMEタイプとして機能したり、特定のホスティング構成でPHPとして実行されたりする可能性があります。

==解決方法==
最新バージョンをインストールします。
・Drupal 9.0.xを使用している場合は、Drupal 9.0.8にアップグレードしましょう。
・Drupal 8.9.xを使用している場合は、Drupal 8.9.9にアップグレードしましょう。
・Drupal 8.8.xを使用している場合は、Drupal 8.8.11にアップグレードしましょう。
・Drupal 7を使用している場合は、Drupal 7.74にアップグレードしましょう。
8.8.xより前のバージョンのDrupal 8は廃止されており、セキュリティの対象にはなりません。 8.7.x以前のサイトは8.8.10に更新する必要があります。

さらに、以前にアップロードしたすべてのファイルを調べて、悪意のある拡張子がないかどうかを確認することをお勧めします。特に、filename.php.txtやfilename.html.gifなど、拡張子にアンダースコア(_)が含まれていない複数の拡張子を含むファイルを探します。次のファイル拡張子に特に注意してください。これらのファイル拡張子の後に1つ以上の追加拡張子が続く場合でも、危険と見なす必要があります。

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

このリストはすべてを網羅していないため、ケースバイケースで他の拡張子のセキュリティ上の懸念を評価してください。

==元記事==
https://www.drupal.org/sa-core-2020-012