オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal core 7~9、Media: oEmbed 7、Examples for Developers、SAML SP 2.0 Single Sign On 7&8、Ink Filepicker

Drupal セキュリティ チームからの連絡です(日本時間 2020/11/19(木)03:01 AM~)

今回は Drupal コア 7~9 を含む 5 つの勧告が出ました。以下では、そのうち普及度が高い2つだけを訳しました。その他は必要に応じて以下のリンクから原文をご覧ください。

モジュール(重大性スコア)              使用サイト数


Drupal core 7.x、8.x、9.x

オンラインの原文: Drupal core - Critical - Remote code execution - SA-CORE-2020-012


概要

11 月 18 日更新:危険性のあるファイル拡張子のリストを拡充

Drupal コアでは、アップロードされたファイルのうち、特定のファイル名のものに対するサニタイズ処理が不十分。このため、不適切な拡張子と判断され、誤った MIME タイプとして利用されたり、特定のホスティング設定用の PHP ファイルとして実行されたりする可能性がある。

解決方法

最新バージョンをインストールする。

  • Drupal 9.0.x を使用している場合は、Drupal 9.0.8 にアップデートする。
  • Drupal 8.9 を使用している場合は、Drupal 8.9.9 にアップデートする。
  • Drupal 8.8 またはそれ以前の 8.x バージョンを使用している場合は、Drupal 8.8.11 にアップデートする。
  • Drupal 7.x を使用している場合は、Drupal 7.74 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。

上記の対応に加え、これまでにアップロードされたファイルのなかに悪意のある(不正利用され得る)拡張子がないか、すべてのファイルを確認することを推奨する。ファイル名内にアンダースコア(_)なしで複数の拡張子があるファイルに注意すること(例:filename.php.txt、filename.html.gif など)。とりわけ、以下に上げる拡張子は、そのあとに別の拡張子があっても危険性があると見なされるので要注意。

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

上記以外にも悪用される拡張子はあり得るので各サイトの状況に応じてセキュリティーの懸念点を評価すること。



Media: oEmbed 7.x

オンラインの原文: Media: oEmbed - Critical - Remote Code Execution - SA-CONTRIB-2020-036


概要

Media oEmbed モジュールではSA-CORE-2020-012(上記コア脆弱性記事)に記載されたファイル名に対するサニタイズ処理が不十分。

解決方法

最新バージョンをインストールする。