オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal Core 7.x、8.x、9.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/09/17(木)03:29 AM~)

今週は Drupal 7、8、9 コアに関する勧告が5つ出ました。そのうち、D7 は1つだけ該当、D8 と D9 はすべて該当します。


モジュール(重大性スコア)


Drupal core 7.x、8.x、9.x

オンラインの原文: Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-007

  • プロジェクト:Drupal core
  • バージョン:7.x、8.x、9.x(原文には記載なし)
  • 月日: 2020 年 09 月 16 日
  • セキュリティー リスク:14/25 (重大性 中程度)
    AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性の種類:クロスサイト スクリプティング
  • CVE ID: CVE-2020-13666

概要

Drupal AJAX API はデフォルトで JSONP を無効化しないため、クロスサイトスクリプティングにつながる可能性がある。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x を使用している場合は、Drupal 7.73 にアップデートする。
  • Drupal 8.8.x を使用している場合は、Drupal 8.8.10 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal 8.9.6 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal 9.0.6 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。8.7.x 以前のサイトは 8.8.10 にアップグレードするように。

信頼できる JSONP リクエストを行うためにこれまで Drupal の AJAX API を利用してきた場合、AJAX オプションを "jsonp: true" にセットするよう上書きするか、jQuery AJAX API を直接使用する必要がある。

貢献モジュールまたはカスタムモジュールにおいてユーザーから提供された URL 用に jQuery の AJAX API を使用する場合、コードを確認して適切な場所で "jsonp: false" を設定すること。

Drupal 7 サイトにおいても、こうした URL は新しい Drupal.sanitizeAjaxUrl() 関数を通すように。



Drupal core 8.x、9.x

オンラインの原文: Drupal core - Moderately critical - Access bypass - SA-CORE-2020-008


概要

試験的モジュールの Workspaces ではサイト上に複数のワークスペースを作成でき、ライブのワークスペースへと公開する前にドラフトのコンテンツを編集することが可能。

Workspaces モジュールではワークスペースを切り替える際のアクセス権限チェックが不十分。このため、アクセスバイパスの脆弱性につながりかねない。攻撃者はサイト所有者(管理者)が公開していないコンテンツを閲覧できる可能性がある。

この問題は試験的モジュール Workspaces を使用しているサイトにのみ該当するため、この脆弱性は軽減される(一般的に該当するものではない)。

解決方法

最新バージョンをインストールする。

  • Drupal 8.8.x を使用している場合は、Drupal 8.8.10 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal 8.9.6 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal 9.0.6 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。8.7.x 以前のサイトは 8.8.10 にアップグレードするように。

Workspaces モジュールを利用しているサイトをアップグレードすると、認証済みユーザーはログインすれば、それまでアクセスできた非公開のワークスペースコンテンツを引き続き閲覧できる。

意図しないアクセスをすぐにストップするには、sessions テーブルを切り捨てるなどしてすべてのアクティブなユーザー セッションを終了させることも可能。ただし、その場合、すべてのユーザーが即座にログアウトされ、ユーザーが入力していたコンテンツが失われるなどの影響が出る可能性があることに注意。



Drupal core 8.x、9.x

オンラインの原文: Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009


概要

特定の状況において Drupal 8 および 9 には反射型クロスサイトスクリプティング(reflected cross-site scripting)の脆弱性がある。

攻撃者は該当するフォーム用に HTML がレンダリングされる方法を利用して脆弱性を悪用することが可能。

解決方法

最新バージョンをインストールする。

  • Drupal 8.8.x を使用している場合は、Drupal 8.8.10 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal 8.9.6 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal 9.0.6 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。8.7.x 以前のサイトは 8.8.10 にアップグレードするように。

Drupal コアのアップデートに加えて、貢献モジュールまたはカスタムモジュール内で \Drupal\Core\Form\FormBuilderrenderPlaceholderFormAction() または buildFormAction() メソッドをオーバーライドしているサイトでは、URL に対して必ず適切なサニタイジング処理を行うようにすること。



Drupal core 8.x、9.x

オンラインの原文: Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-010


概要

Drupal に標準搭載されている CKEditor の画像キャプション機能にはクロスサイトスクリプティングの脆弱性がある。

解決方法

最新バージョンをインストールする。

  • Drupal 8.8.x を使用している場合は、Drupal 8.8.10 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal 8.9.6 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal 9.0.6 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。8.7.x 以前のサイトは 8.8.10 にアップグレードするように。



Drupal core 8.x、9.x

オンラインの原文: Drupal core - Moderately critical - Information disclosure - SA-CORE-2020-011


概要

File モジュールに脆弱性がある。攻撃者はファイルの ID を推測することによってアクセスできない恒久的なプライベート ファイルのメタデータにアクセスできるようになる。

解決方法

最新バージョンをインストールする。

  • Drupal 8.8.x を使用している場合は、Drupal 8.8.10 にアップデートする。
  • Drupal 8.9.x を使用している場合は、Drupal 8.9.6 にアップデートする。
  • Drupal 9.0.x を使用している場合は、Drupal 9.0.6 にアップデートする。

8.8.x よりも前の Drupal 8 バージョンはサポート終了(EOL)のためセキュリティー対応は提供されない。8.7.x 以前のサイトは 8.8.10 にアップグレードするように。