Drupal セキュリティ チームからの連絡です(日本時間 2020/08/06(木)05:16 AM~)
今回は先週セキュリティー勧告の出た Group 8.x に関する追加の勧告が2つ出ました。
モジュール(重大性スコア) 使用サイト数
Group
オンラインの原文: Group - Moderately critical - Information disclosure - SA-CONTRIB-2020-032
- プロジェクト:Group
- バージョン:8.x-1.x(原文は 8.x-1.x-dev)
- 月日: 2020 年 08 月 05 日
- セキュリティー リスク:12/25 (重大性 中程度)
AC:Basic/A:None/CI:Some/II:None/E:Theoretical/TD:Default - 脆弱性の種類:情報露見(Information disclosure)
概要
Group モジュールを利用すると、Web サイトの一部(サブセット、セクション)やサイト内のコミュニティーに権限を与えることができる。
セキュリティー リリース 1.1 では、すべてのエンティティー タイプで適切なアクセスが確保されるように新しいコードが導入されたが、ミスがあったため、非公開のノードに対して予期しないアクセスが生じることになった。
解決方法
最新バージョンをインストールする。
- Group 8.x-1.0 以降のバージョンを使用している場合は、Group 8.x-1.2 にアップデートする。
- Group 8.x-1.0-rc5 を使用している場合は、この問題の影響を受けないが、Group 8.x-1.2 にアップデートしてもよい。
Group
オンラインの原文: Group - Moderately critical - Information disclosure - SA-CONTRIB-2020-033
- プロジェクト:Group
- バージョン:8.x-1.x(原文は 8.x-1.x-dev)
- 月日: 2020 年 08 月 05 日
- セキュリティー リスク:11/25 (重大性 中程度)
AC:None/A:User/CI:Some/II:None/E:Theoretical/TD:Uncommon - 脆弱性の種類:情報露見(Information disclosure)
概要
Group モジュールを利用すると、Web サイトの一部(サブセット、セクション)やサイト内のコミュニティーに権限を与えることができる。
同じコンテンツに 2 つのグループ タイプが対応しており、それぞれが異なる権限を与えるという、極めて限られた状況において、一方のグループ タイプの非メンバーが他方のグループタイプの権限セットを使ってしまう可能性がある。
この問題が生じるには、すでにこうした珍しい設定状態があり、同じタイプのコンテンツに対して、2 つのグループ タイプの一方は他方よりも多くの許可を与えるよう設定されている必要があるので、この脆弱性は軽減される。
解決方法
最新バージョンをインストールする。
- Group 8.x-1.0 以降のバージョンを使用している場合は、Group 8.x-1.2 にアップデートする。
- Group 8.x-1.0-rc5 を使用している場合は、この問題の影響を受けないが、Group 8.x-1.2 にアップデートしてもよい。