オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Services 7.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/06/04(木)01:12 AM)

今週は Drupal 7 用の拡張モジュール Services だけです。また、今日、Drupal 9 がリリースされました!

モジュール(重大性スコア)  使用サイト数

  • Services (11/25 重大性 中程度)  39,541 サイト

Services

オンラインの原文: Services - Moderately critical - Access bypass - SA-CONTRIB-2020-022


概要

Services モジュールは、API 構築のための標準化されたソリューションとなり、Drupal と外部のクライアントがデータをやりとりできるようになる。

このモジュールのタクソノミー ターム インデックス リソース(taxonomy term index resource)は、コアが提供している特定のアクセス コントロール タグを処理の対象から外している。そのタグはコアでは使用されていないが、そのタグに依存している貢献モジュールが存在する。

事実として、これを悪用するには、まず、該当するサイトにおいてタクソノミー ターム インデックス リソースが有効になっている必要がある。次に、タクソノミー ターム インデックス リソースを使用するモジュールも有効になっていなくてはならない。さらに、攻撃者はその API エンドポイントのパスを知っている必要がある。このため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Services を使用している場合は Services 7.x-3.26 にアップデートする。

Services プロジェクト ページも参照。