Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013

2020-11-27
Critical
コア

2020/11/25(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/11/25
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
●CVE IDs :CVE-2020-28949
       CVE-2020-28948

==概要==

Drupalプロジェクトは、PEARArchive_Tarライブラリを使用しています。 PEAR Archive_Tarライブラリが、Drupalに影響を与えるセキュリティアップデートをリリースしました。詳細については、以下を参照してください。

Drupalが.tar、.tar.gz、.bz2、.tlzファイルのアップロードを許可し、それらを処理するように構成されている場合、複数の脆弱性が発生する可能性があります。
この問題を軽減するには、信頼できないユーザーが.tar、.tar.gz、.bz2、.tlzファイルをアップロードしないようにしてください。

これはSA-CORE-2019-012とは異なる問題です。パッチできるようになるまでに、同様の構成変更が問題を軽減する場合があります。


==解決方法==
最新バージョンをインストールします。
・Drupal 9.0.xを使用している場合は、Drupal 9.0.9にアップグレードしましょう。
・Drupal 8.9.xを使用している場合は、Drupal 8.9.10にアップグレードしましょう。
・Drupal 8.8.xを使用している場合は、Drupal 8.8.12にアップグレードしましょう。
・Drupal 7を使用している場合は、Drupal 7.75にアップグレードしましょう。
8.8.xより前のバージョンのDrupal 8は廃止されており、セキュリティの対象にはなりません。 8.7.x以前のサイトは8.8.10に更新する必要があります。


通常のセキュリティリリースウィンドウのスケジュールによると、11月25日は通常コアセキュリティウィンドウではありません。ただし、コアの依存関係の1つに既知のエクスプロイトがあり、Drupalの一部の構成が脆弱であるため、このリリースが必要です。

==元記事==
https://www.drupal.org/sa-core-2020-013