Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004

2021-07-27
Critical
コア

2021/7/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/7/21
●セキュリティリスク :Critical
●脆弱性 :Third-party libraries

==概要==

Drupalプロジェクトは、PEARのArchive_Tarライブラリを使用しています。このライブラリはセキュリティアップデートをリリースしており、Drupalにも影響があります。

この脆弱性は、DrupalコアによるArchive_Tarライブラリの使用がシムリンクを許可していないため脆弱ではないという事実によって軽減されます。

もしコントリビューションコードやカスタムコードが、信頼できない可能性のあるソースを起源とするtarアーカイブ( .tar、.tar.gz、.bz2、.tlzなど)を抽出するために同ライブラリを使用している場合は、攻撃される恐れがあります。


==解決方法==
最新バージョンをインストールします。
・Drupal 9.2を使用している場合は、Drupal 9.2.2にアップグレードしましょう。
・Drupal 9.1を使用している場合は、Drupal 9.0.12にアップグレードしましょう。
・Drupal 8.9を使用している場合は、Drupal 8.9.17にアップグレードしましょう。
・Drupal 7を使用している場合は、Drupal 7.82にアップグレードしましょう。
Drupal 8の8.9.x以前のバージョンとDrupal 9の9.1.x以前のバージョンは廃止されており、セキュリティの対象にはなりません。


==元記事==
https://www.drupal.org/sa-core-2021-004