オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 7 および 8 コア、Search 404

Drupal セキュリティーチームからの連絡です(日本時間 2017/06/22(木)1:25 AM から)

今回は Drupal 7 および 8 のコアと拡張モジュール 1 つです。

拡張モジュールとその使用サイト数(カッコ内は重大性スコア)

  • Search 404 (13/25 重大性 中程度): 41,319 sites (全バージョンの合計)

以下では各勧告の概要をご紹介します。


Drupal Core

オンラインの原文: Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003

Drupal 7 および 8 のサイトはアップデートすることを強く推奨する(アップデートの手順:Drupal 7 用、Drupal 8 用)。このリリースではセキュリティーの問題のみが修正されている。新機能の追加およびセキュリティーに関係ない修正は含まれていない。このリリースに関連した重要な変更点および既知の問題点に関する詳細は Drupal 7.56 および Drupal 8.3.4 それぞれのリリース ノートを参照。また、このリリースで修正されたセキュリティー脆弱性の詳細については以下の説明を参照。

  • 勧告 ID:DRUPAL-SA-CORE-2017-003
  • プロジェクト:Drupal Core
  • バージョン:7.x、8.x
  • 月日: 2017 年 06 月 21 日
  • 脆弱性:多重の脆弱性

概要

PECL YAML パーサーのオブジェクト ハンドリングが不適切 - 重大 - Drupal 8 - CVE-2017-6920

PECL YAML パーサーは Drupal コア内での特定の操作において PHP オブジェクトの扱い方が安全ではない。このため、コードの遠隔実行につながる可能性がある。

ファイル REST リソースの検証が不適切 - 重大性 低 - Drupal 8 - CVE-2017-6921

ファイル REST リソースは、ファイルを操作しているとき、フィールドを適切に検証しないことがある。これによってサイトに影響が出るのは次の場合のみ。すなわち、RESTful Web Services (rest) モジュールが有効で、ファイル REST リソースが有効かつ PATCH リクエストが可能であり、攻撃者がサイトにユーザー アカウントを取得または登録でき、その権限として、ファイルをアップロードし、そのファイル リソースを変更することができる場合。

匿名ユーザーがプライベート ファイル システムにアップロードしたファイルに他の匿名ユーザーがアクセスできてしまう - 重大性 中程度 - Drupal 7、Drupal 8 - CVE-2017-6922

匿名ユーザーがアップロードしたプライベート ファイルは、そのサイト上のコンテンツにずっと紐付けられているわけではない場合、アップロードした本人にだけ見えるべきであって、すべての匿名ユーザーに見えるべきではない。Drupal コアには、これまで、こうした保護対策がとられていなかったため、アクセス バイパスの脆弱性が生じる可能性があった。ただ、事実として、この影響が出るには、該当するサイトのプライベート ファイル システムに匿名ユーザーがファイルをアップロードできなくてはならないため、この問題は軽減される。

セキュリティー チームには、この脆弱性がスパム目的に悪用されているという複数の報告も届いている。これはパブリック ファイル システムに関連して PSA-2016-003 で紹介されている状況にも似ている。

影響を受けるバージョン

  • 7.56 よりも前の Drupal 7.x コア バージョン
  • 8.3.4 よりも前の Drupal 8.x コア バージョン

解決方法

最新バージョンをインストールする。

  • Drupal 7.x を使用している場合は、Drupal 7.56 にアップグレードすること。
  • Drupal 8.x を使用している場合は、Drupal 8.3.4 にアップグレードすること。

 Drupal コア プロジェクト ページも参照。


Search 404

オンラインの原文: Search 404 - Moderately Critical - Cross Site Scripting - SA-CONTRIB-2017-053

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-053
  • プロジェクト:Search 404(サードパーティー モジュール)
  • バージョン:7.x
  • 月日: 2017 年 06 月 21 日
  • セキュリティー リスク:13/25 (重大性 中程度)
    AC:Basic/A:Admin/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性:クロスサイト スクリプティング

概要

Search 404 モジュールを利用すると、404 ページをそのサイト上の検索ページにリダイレクトし、見つからなかった URL 内のキーワードを検索できるようになる。

このモジュールは、管理者が用意したテキストをフィルターにかけずにそのまま 404 ページ上に表示してしまう。このため、クロスサイト スクリプティング(XSS)の脆弱性が生じる。

事実として、攻撃するには「administer search」権限のある役割(role)がなくてはならないので、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-1.5 よりも前の Search 404 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「Search 404」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Search 404 モジュールを使用している場合は、Search 404 7.x-1.5 にアップグレードすることを推奨。

 Search 404 プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。