オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Group 8.x、Hostmaster (Aegir) 7.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/07/30(木)02:05 AM~)

今週は D8 用、D7 用の拡張モジュールが1つずつあります。ある程度普及している Group 8.x の記事だけ訳しました。


モジュール(重大性スコア)  使用サイト数


Group

オンラインの原文: Group - Critical - Information Disclosure - SA-CONTRIB-2020-030


概要

Group モジュールを利用すると、Web サイトの一部(サブセット、セクション)やサイト内のコミュニティーに権限を与えることができる。

このモジュールは、ノードの認可システムを利用していたが、最近、8.x-1.0 リリースではそれをやめ、ノードだけではなく、すべてのエンティティー タイプで機能するシステムに変更した。その際、ノード認可システムの動作上の理由で、通常のノード アクセス チェックが「ニュートラル」から「許可(allowed)」に切り替わった個所が出た。

この問題を悪用するには以下の条件が必要なため、この脆弱性は軽減される。攻撃者は、まず自分のサイトに GroupNode プラグインをインストールしてあること。そして、そのサイト上には最近、Group から削除された hook_node_grants() があり、それ以外の hook_node_grants() はないこと。

GroupNode plugin を使用していない場合、あるいは hook_node_grants() 実装モジュールがまだ有効になっている場合、そのサイトは影響を受けない可能性がある。


解決方法

最新バージョンをインストールする。

  • Group 8.x-1.0-rc5 を使用している場合は、それをそのまま使い続けてもよいし、Group 8.x-1.1 にアップデートしてもよい。
  • Group 8.x-1.0 を使用している場合は、Group 8.x-1.1 にアップデートする。