Drupal 10.3.5 にアップデート

リリースノートはこちらのとおり。あっという間だった 10.3.4 を飛ばしてのアップデートになる。
いつもどおり次のコマンドを実行する。

composer update "drupal/core-*" --with-all-dependencies

ところが次のメッセージが出てアップデートされない。

・・・（省略）・・・
Found 1 security vulnerability advisory affecting 1 package.
Run composer audit for a full list of advisories.

メッセージに従って composer audit を実行すると、

Found 1 security vulnerability advisory affecting 1 package:
+-------------------+----------------------------------------------------------------------------------+
| Package           | twig/twig                                                                        |
| CVE               | CVE-2024-45411                                                                   |
| Title             | Twig has a possible sandbox bypass                                               |
| URL               | https://github.com/advisories/GHSA-6j75-5wfj-gh66                                |
| Affected versions | >=3.0.0,<3.11.1|>=3.12.0,<3.14.0|>=2.0.0,<2.16.1|>=1.0.0,<1.44.8                 |
| Reported at       | 2024-09-09T20:19:26+00:00                                                        |
+-------------------+----------------------------------------------------------------------------------+

ということで、 twig/twig のバージョンがダメだとされていた。
セキュリティ問題の詳細は CVE-2024-45411 や https://github.com/ のとおり。

今回は一旦リリース 10.3.5 に固定してアップデートしてから固定解除することにした。

10.3.5 に固定してアップデート

composer require drupal/core-recommended:10.3.5 drupal/core-composer-scaffold:10.3.5 drupal/core-project-message:10.3.5 --update-with-all-dependencies

固定解除

composer require drupal/core-recommended drupal/core-composer-scaffold drupal/core-project-message --update-with-all-dependencies

composer show twig/twig で確認してみると versions : * v3.14.0 になっていた。
 

以上でアップデート完了。