オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Webform 7.x、Smart Trim 8.x、Taxonomy access fix 8.x、Permissions by Term 8.x、Modal Page 8.x

Drupal セキュリティ チームからの連絡です(日本時間 2019/12/12(木)05:10 AM~)

今週は拡張モジュールが 5 つです。

モジュール(重大性スコア)使用サイト数


以下、普及率の高い 3 つの記事を訳しました。


Webform

オンラインの原文: Webform - Critical - Multiple vulnerabilities - SA-CONTRIB-2019-096


概要

Webform モジュールを利用すると、フォームを作ってユーザーから情報を収集し、それを基にしたレポート作成、分析、E メールでの配信を行える。

7.x-3.x ではクエリ ストリングからのトークン値に対するサニタイズ処理が不十分。クエリ ストリング トークンをマークアップ要素の値として使えば攻撃者はページ内に JavaScript を注入できてしまう。

7.x-4.x はドラフト Web フォームの送信 ID (identifier) を変更することによって他のユーザーの送信を上書きする攻撃者に対する防御が不十分。機密情報が露見することはないが、上書きされることによって消失する、または偽造されてしまう可能性がある。

事実として、この脆弱性を悪用するには以下の条件が必要なため、7.x-4.x の脆弱性は軽減される。すなわち、攻撃者には Web フォームを送信する権限のある役割(ロール)が必要であり、その Web フォームは「『下書きを保存』ボタンを表示(Show "Save draft" button)」、「ページ間および検証エラーがあった場合は自動的に下書きとして保存(Automatically save as draft between pages and when there are validation errors)」のいずれか、または両方の詳細設定が適用されていなくてはならない。これら 2 つのオプションはどちらもデフォルトでは無効化されている。匿名ユーザーは下書き(ドラフト)を送信できないため、この脆弱性を悪用することは不可能。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Webform モジュール 3.x を使用している場合は Webform 7.x-3.29 にアップデートする。
  • Drupal 7.x 用の Webform モジュール 4.x を使用している場合は Webform 7.x-4.21 にアップデートする。

Smart Trim

オンラインの原文: Smart Trim - Moderately critical - Cross site scripting - SA-CONTRIB-2019-092


概要

Smart Trim モジュールを利用すると、サイトビルダーはテキスト要約フィールドで制御できることが増える。

このモジュールでは、特定のオプションを選択した場合、テキストに対するフィルター機能が不十分。

事実として、攻撃者がこの脆弱性を悪用するには、該当するサイト上で出力を部分的にカットするために特定のオプションを選択した状態でコンテンツを作成する権限がなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Smart Trim モジュールを使用している場合は Smart Trim 8.x-1.2 にアップデートする。

Smart Trim プロジェクト ページも参照。


Taxonomy access fix

オンラインの原文: Taxonomy access fix - Moderately critical - Access bypass - SA-CONTRIB-2019-093


概要

Taxonomy access fix モジュールは Drupal コアに含まれている Taxonomy モジュールのアクセス処理機能を拡張する。

このモジュールでは、以下の場合、チェック機能が不十分。

  • 一定のエンティティーへのアクセスを制御する必要があるが、デフォルトで非公開のタクソノミー タームへのアクセスさえも許可されている場合
  • 特定の管理用ルートへのアクセスを制御する必要があるが、そうした管理用ルートへのアクセス権限がないはずのユーザーにさえもデフォルトでアクセスが認められている場合

攻撃者がこの脆弱性を悪用するには以下の事実があるため、この脆弱性は軽減される。

  • タクソノミー タームのステータスを変更するユーザー インターフェイスは Drupal コア 8.8 でリリースされた。それ以前のバージョンの Drupal コアでは、タクソノミー タームを「非公開」としてマークするにはカスタム モジュールまたは貢献モジュールが必要。
  • 該当する管理用ルート上で利用できるすべてのエンティティー操作(view 操作を除く)には引き続き適切な権限が必要
  • 攻撃者にはコンテンツにアクセスする権限またはボキャブラリー内のタクソノミー タームを見る権限がなくてはならない。

解決方法

最新バージョンをインストールする。

Taxonomy access fix プロジェクト ページも参照。