オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:JSON:API 8.x-1.x、8.x-2.x(貢献モジュール)

Drupal セキュリティ チームからの連絡です(日本時間 2020/04/16(木)01:11 AM)

今回の Drupal セキュリティー勧告は JSON:API モジュールですが、D8 コアに含まれているものではありません。

モジュール(重大性スコア)  使用サイト数

  • JSON:API (15/25 重大)   2,561 サイト

JSON:API

オンラインの原文: JSON:API - Critical - Unsupported - SA-CONTRIB-2020-010

  • プロジェクト:JSON:API
  • バージョン:8.x-1.x、8.x-2.x(原文は 8.x-1.26)
  • 月日: 2020 年 04 月 15 日
  • セキュリティー リスク:15/25 (重大)
    AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All
  • 脆弱性の種類:サポート対象から除外

概要

このモジュールは JSON API 標準規格に準拠した API を提供してくれるので、Drupal のコンテンツと構成(コンフィギュレーション)のエンティティーにアクセスしたり操作したりできるようになる。

Drupal セキュリティーチームとモジュール メンテナーたちは、このプロジェクトをサポート対象外に指定する。8.x-1.x8.x-2.x の両方ともサポートから外される。このどちらかのバージョンを使っているユーザーには、サポートされている Drupal コアにアップグレードすることを強く推奨する。Drupal コアにはサポート対象の JSON:API バージョンが含まれている。

貢献モジュール JSON:API がいずれはセキュリティー サポートから外されることは 2018 年 6 月 28 日の JSON:API 8.x-1.22 リリース時に告知されていた。

また、8.x-1.x ブランチにはメンテナーが修正する予定のない、既知のセキュリティー問題がある。その問題は 8.x-2.x ブランチにも Drupal コアにも存在しない。


解決方法

このモジュールのユーザーには、サポートされている Drupal コアにアップグレードすることを推奨する。そのコアにはサポートされているバージョンの JSON:API が含まれている。

現在、このモジュールの 8.x-1.x バージョンを使用している場合は、ここに記録された変更履歴も確認することを推奨。

JSON:API プロジェクト ページも参照のこと。