オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal 8 コア、CKEditor(D7 用)

Drupal セキュリティ チームからの連絡です(日本時間 2020/03/19(木)04:58 AM~)

今回の Drupal セキュリティー勧告は 2 つで、どちらも CKEditor が脆弱性対応したことによるものです。CKEditor は Drupal 8 ではコアに入っているので D8 コアの勧告として 1 つ。もう 1 つは D7 用の貢献モジュールとしての勧告です。

コア&モジュール(重大性スコア)  使用サイト数


Drupal コア 8.x

オンラインの原文: Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001


概要

Drupal コアに含まれているサードパーティー ライブラリーの CKEditor は、セキュリティーを改善したバージョンがリリースされた。それは特定の使用状況における Drupal を保護するのに必要。

該当する脆弱性は、Drupal においてサイトのユーザーが CKEditor を使うように設定されている場合に生じ得る。複数のユーザーがコンテンツを編集できる場合、この脆弱性を利用して他のユーザーに XSS(クロスサイトスクリプティング)攻撃を行うことが可能。攻撃対象にはより多くのアクセス権限を持ったサイト管理者も含まれる。

Drupal の最新バージョンでは、この脆弱性に対応した CKEditor 4.14 にアップデートされている。


解決方法

最新バージョンをインストールする。

  • Drupal 8.8.x を使用している場合は Drupal 8.8.4 にアップデートする。
  • Drupal 8.7.x を使用している場合は Drupal 8.7.12 にアップデートする。

Drupal 8.7.x よりも前の Drupal 8 はサポート対象外(EOL)のため、セキュリティー対応バージョンは提供されない。

サイトを次回、更新するときまで CKEditor モジュールを無効化しても脆弱性を回避することは可能。

Drupal 7 ユーザー向けの注意点

このバージョン自体は Drupal 7 コアには影響しない。しかし、Drupal 7 に(たとえば、貢献モジュールとして)CKEditor ライブラリーをインストールしてある場合は、そのダウンロードしたライブラリーを CKEditor 4.14 以降のバージョンにアップデートする、または CDN URL が CKEditor 4.14 以降のバージョンを指すようにすること。また、サイトを次回、更新するまで、すべての WYSIWYG 系モジュールを無効化することによっても脆弱性を回避可能。


CKEditor

オンラインの原文: CKEditor - WYSIWYG HTML editor - Moderately critical - Cross site scripting - SA-CONTRIB-2020-007


概要

CKEditor(および、その前身の FCKeditor)モジュールを利用すると、Drupal の標準テキストエリア フィールドに対して WYSIWYG エディターと呼ばれることもあるビジュアル HTML エディターである CKEditor 3.x/4.x(または FCKeditor 2.x)を使える。

管理セクションでフィルター対象外データに対して JavaScript の eval() 関数を使うと、管理エリア内で表示されるコンテンツを作成する権限のあるユーザーは、悪意のあるスクリプトを仕込んで注入し、クロスサイトスクリプティング攻撃を行うことが可能だった。

この問題は Drupal 用の CKEditor モジュール内にあるものであって、同じ名前の JavaScript ライブラリーには存在しない。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の CKEditor モジュールを使用している場合は CKEditor 7.x-1.19 にアップデートする。

CKEditor プロジェクト ページも参照。