Drupal セキュリティ チームからの連絡です(日本時間 2020/11/19(木)03:01 AM~)
今回は Drupal コア 7~9 を含む 5 つの勧告が出ました。以下では、そのうち普及度が高い2つだけを訳しました。その他は必要に応じて以下のリンクから原文をご覧ください。
モジュール(重大性スコア) 使用サイト数
- Drupal core 7.x、8.x、9.x (17/25 重大) 986,022 サイト
- Media: oEmbed 7.x (17/25 重大) 6,936 サイト
- Examples for Developers (17/25 重大) 2,017 サイト
- SAML SP 2.0 Single Sign On (SSO) 7.x、8.x (16/25 重大) 288 サイト
- Ink Filepicker (17/25 重大) 11 サイト
Drupal core 7.x、8.x、9.x
オンラインの原文: Drupal core - Critical - Remote code execution - SA-CORE-2020-012
- プロジェクト:Drupal core
- バージョン:7.x、8.x、9.x(原文には記載なし)
- 月日: 2020 年 11 月 18 日
- セキュリティー リスク:17/25 (重大)
AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:Default - 脆弱性の種類:遠隔コード実行
- CVE ID: CVE-2020-13671
概要
11 月 18 日更新:危険性のあるファイル拡張子のリストを拡充
Drupal コアでは、アップロードされたファイルのうち、特定のファイル名のものに対するサニタイズ処理が不十分。このため、不適切な拡張子と判断され、誤った MIME タイプとして利用されたり、特定のホスティング設定用の PHP ファイルとして実行されたりする可能性がある。
解決方法
最新バージョンをインストールする。
- Drupal 9.0.x を使用している場合は、Drupal 9.0.8 にアップデートする。
- Drupal 8.9 を使用している場合は、Drupal 8.9.9 にアップデートする。
- Drupal 8.8 またはそれ以前の 8.x バージョンを使用している場合は、Drupal 8.8.11 にアップデートする。
- Drupal 7.x を使用している場合は、Drupal 7.74 にアップデートする。
8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。
上記の対応に加え、これまでにアップロードされたファイルのなかに悪意のある(不正利用され得る)拡張子がないか、すべてのファイルを確認することを推奨する。ファイル名内にアンダースコア(_)なしで複数の拡張子があるファイルに注意すること(例:filename.php.txt、filename.html.gif など)。とりわけ、以下に上げる拡張子は、そのあとに別の拡張子があっても危険性があると見なされるので要注意。
- phar
- php
- pl
- py
- cgi
- asp
- js
- html
- htm
- phtml
上記以外にも悪用される拡張子はあり得るので各サイトの状況に応じてセキュリティーの懸念点を評価すること。
Media: oEmbed 7.x
オンラインの原文: Media: oEmbed - Critical - Remote Code Execution - SA-CONTRIB-2020-036
- プロジェクト:Media: oEmbed
- バージョン:7.x(原文には記載なし)
- 月日: 2020 年 11 月 18 日
- セキュリティー リスク:17/25 (重大)
AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:Default - 脆弱性の種類:遠隔コード実行
概要
Media oEmbed モジュールではSA-CORE-2020-012(上記コア脆弱性記事)に記載されたファイル名に対するサニタイズ処理が不十分。
解決方法
最新バージョンをインストールする。
- Media oEmbed 7.x-2.8 にアップデートする。