オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal コア7&8&9、Internationalization 7.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/06/18(木)03:58 AM~)

今週は Drupal コア 7、8、9 と拡張モジュールが 1 つです。

モジュール(重大性スコア)  使用サイト数


Drupal コア

オンラインの原文: Drupal core - Critical - Cross Site Request Forgery - SA-CORE-2020-004

  • プロジェクト:Drupal core
  • バージョン:7.x、8.x、9.x(原文には記載なし)
  • 月日: 2020 年 06 月 17 日
  • セキュリティー リスク:15/25 (重大)
    AC:Complex/A:None/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性の種類:クロスサイト リクエスト フォージェリー(CSRF)
  • CVE ID:CVE-2020-13663

概要

Drupal コアの Form API ではクロスサイト リクエストから来る特定のフォーム入力に対する処理が不適切。このため、脆弱性につながる可能性がある。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x を使用している場合は Drupal 7.72 にアップデートする。
  • Drupal 8.8.x を使用している場合は Drupal 8.8.8 にアップデートする。
  • Drupal 8.9.x を使用している場合は Drupal 8.9.1 にアップデートする。
  • Drupal 9.0.x を使用している場合は Drupal 9.0.1 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポートが終了している(EOL)ため、セキュリティー対策は提供されない。8.7.x 以前を使用しているサイトは 8.8.8 にアップグレードするように。


Drupal コア

オンラインの原文: Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005


概要

Drupal 8 と 9 には特定の状況下で遠隔コード実行の脆弱性がある。

攻撃者は、サイト管理者をだまして悪意のあるサイトにアクセスさせ、その結果、巧妙に名前を付けたディレクトリーが管理者のサイトのファイルシステム上に作成される可能性がある。このディレクトリーができると、攻撃者が遠隔コード実行の脆弱性をブルートフォース攻撃で突くことになりかねない。

Windows server は大抵、この影響を受けることになる。


解決方法

最新バージョンをインストールする。


Drupal コア

オンラインの原文: Drupal core - Less critical - Access bypass - SA-CORE-2020-006


概要

JSON:API PATCH リクエストは特定のフィールドにおいて検証をバイパスしてしまうことがある。

デフォルトの場合、JSON:API は読み取り専用(read-only)モードで動くので、この脆弱性を悪用することは不可能。jsonapi.settings config において、この read_onlyFALSE にセットしてあるサイトだけに脆弱性があることになる。


解決方法

最新バージョンをインストールする。


Internationalization 7.x

オンラインの原文: Internationalization - Moderately critical - Cross site scripting - SA-CONTRIB-2020-025


概要

Internationalization (i18n) モジュールは Drupal コアの多言語機能を拡張して実用的な多言語サイトを構築するためのモジュール群。

このなかで、Term translation モジュールの使用する値のひとつがエスケープされることなく表示されてしまう。これがクロスサイト スクリプティング(XSS)の脆弱性につながる。

攻撃者がこれを悪用するには、タクソノミー ボキャブラリーに対する「Edit terms in(…のタームを編集)」権限をもち、i18n term translation が有効になっており、被害者が i18n term translation ページを使用する、という条件がそろう必要があるため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Internationalization (i18n) モジュールを使用している場合は i18n 7.x-1.27 にアップデートする。

Internationalization (i18n) プロジェクト ページも参照。