オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal コア 8.8.x、8.7.x、7.x

Drupal セキュリティ チームからの連絡です(日本時間 2019/12/19(木)04:55 AM~)

今週は Drupal 7 と 8 のセキュリティーアップデートがリリースされ、関連した記事が合計 4 つ出ました。

モジュール(重大性スコア)


以下、上記の記事を順に訳したものです。


Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009

オンラインの原文: Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009

  • プロジェクト:Drupal
  • バージョン:8.8.x、8.7.x
  • 月日: 2019 年 12 月 18 日
  • セキュリティー リスク:12/25 (重大性 中程度)
    AC:None/A:None/CI:None/II:None/E:Theoretical/TD:All
  • 脆弱(ぜいじゃく)性の内容:DoS (Denial of Service。サービス拒否)

概要

install.php にアクセスするとキャッシュされたデータが破損する可能性がある。このため、キャッシュが再作成されるまでサイトの動作が不適切になりかねない。


解決方法

最新バージョンをインストールする。

  • Drupal 8.7.x を使用している場合は Drupal 8.7.11 にアップデートする。
  • Drupal 8.8.x を使用している場合は Drupal 8.8.1 にアップデートする。
8.7.x よりも前の Drupal 8 は EOL(サポート対象外)なのでセキュリティー対応策は提供されない。

Drupal 8 のどのバージョンでも、必要のないかぎり install.php へのアクセスをブロック(防止)すれば、この問題は軽減できる。


Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010

オンラインの原文: Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-010


概要

Drupal 8 コアの file_save_upload() 関数は、Drupal 7 がやっていたようにファイル名の前と後にあるドット(.)を取り除かない。

貢献モジュールとの関連でどんな拡張子のファイルでもアップロードできるユーザーは、これを利用して、たとえば .htaccess などのシステムファイルもアップロードできる。これによって、Drupal のデフォルトの .htaccess ファイルによるプロテクションは回避されてしまう。

この問題に対処するため、file_save_upload() ファイル名の前と後にあるドットを削除するよう修正された。


解決方法

最新バージョンをインストールする。

  • Drupal 8.7.x を使用している場合は Drupal 8.7.11 にアップデートする。
  • Drupal 8.8.x を使用している場合は Drupal 8.8.1 にアップデートする。

8.7.x よりも前の Drupal 8 は EOL(サポート対象外)なのでセキュリティー対応策は提供されない。

Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011

オンラインの原文: Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011


概要

Media モジュールでは、特定の構成・設定状況においてメディア素材へのアクセスに対する制限機能が不十分なため、セキュリティー脆弱性につながる。

解決方法

最新バージョンをインストールする。

  • Drupal 8.7.x を使用している場合は Drupal 8.7.11 にアップデートする。
  • Drupal 8.8.x を使用している場合は Drupal 8.8.1 にアップデートする。

8.7.x よりも前の Drupal 8 は EOL(サポート対象外)なのでセキュリティー対応策は提供されない。

また、管理画面の 環境設定 > メディア > Media Library Settings にある"Enable advanced UI (詳細 UI を有効化)"(/admin/config/media/media-library)のチェックを外せば、この脆弱性を軽減できる(Drupal 8.7.x では、この操作はできない)。


Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012

オンラインの原文: Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012


概要

Drupal プロジェクトで利用されているサードパーティー ライブラリ Archive_Tar のセキュリティー アップデートが公開された。Drupal の構成・設定状況によっては、この影響を受けることになる。

Drupal が .tar、.tar.gz、.bz2 または .tlz ファイルのアップロードおよび処理を許可するよう設定されている場合、多重の脆弱性が生じる可能性がある。

最新バージョンの Drupal では Archive_Tar が 1.4.9 がアップデートされ、ファイル処理の脆弱性に対応している。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x を使用している場合は Drupal 7.69 にアップデートする。
  • Drupal 8.7.x を使用している場合は Drupal 8.7.11 にアップデートする。
  • Drupal 8.8.x を使用している場合は Drupal 8.8.1 にアップデートする。

8.7.x よりも前の Drupal 8 は EOL(サポート対象外)なのでセキュリティー対応策は提供されない。