リリースノートはこちらのとおり。あっという間だった 10.3.4 を飛ばしてのアップデートになる。
いつもどおり次のコマンドを実行する。
composer update "drupal/core-*" --with-all-dependenciesところが次のメッセージが出てアップデートされない。
・・・(省略)・・・
Found 1 security vulnerability advisory affecting 1 package.
Run composer audit for a full list of advisories.メッセージに従って composer audit を実行すると、
Found 1 security vulnerability advisory affecting 1 package:
+-------------------+----------------------------------------------------------------------------------+
| Package | twig/twig |
| CVE | CVE-2024-45411 |
| Title | Twig has a possible sandbox bypass |
| URL | https://github.com/advisories/GHSA-6j75-5wfj-gh66 |
| Affected versions | >=3.0.0,<3.11.1|>=3.12.0,<3.14.0|>=2.0.0,<2.16.1|>=1.0.0,<1.44.8 |
| Reported at | 2024-09-09T20:19:26+00:00 |
+-------------------+----------------------------------------------------------------------------------+ということで、 twig/twig のバージョンがダメだとされていた。
セキュリティ問題の詳細は CVE-2024-45411 や https://github.com/ のとおり。
今回は一旦リリース 10.3.5 に固定してアップデートしてから固定解除することにした。
10.3.5 に固定してアップデート
composer require drupal/core-recommended:10.3.5 drupal/core-composer-scaffold:10.3.5 drupal/core-project-message:10.3.5 --update-with-all-dependencies固定解除
composer require drupal/core-recommended drupal/core-composer-scaffold drupal/core-project-message --update-with-all-dependencies
composer show twig/twig で確認してみると versions : * v3.14.0 になっていた。
以上でアップデート完了。