PHPのビルトインpharストリームラッパーに、信頼できないphar:// URIでファイル操作を実行する際にリモートコード実行の脆弱性が存在します。一部のDrupalコード（core、contrib、およびcustom）が、十分に検証されていないユーザー入力でファイル操作を実行し、この脆弱性にさらされている可能性があります。

この更新では、組み込み型の代わりにtypo3プロジェクトからの新しい置換ストリームラッパーが使用されます。

Debian 8「Jessie」では、この問題はバージョン7.32-1+deb8u14で修正されました。

drupal7パッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-1659-1: drupal7のセキュリティ更新

critical Nessus プラグイン ID 121556

バージョン 1.6