オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Media、Webform Multiple File Upload、DRD Agent、Drupal Remote Dashboard

Drupal セキュリティーチームからの連絡です(日本時間 2017/05/11(木)1:57 AM から)

セキュリティー勧告、今回は拡張モジュール関連が 4 つです。

モジュールとその使用サイト数(カッコ内は重大性スコア)

以下では、普及度の高い Media のみ、勧告の概要をご紹介します。その他のモジュールに関しては、それぞれの原文をご覧ください。


Media

オンラインの原文: Media - Moderately Critical - Multiple vulnerabilities - SA-CONTRIB-2017-044


概要

Media モジュールは大きなメディアライブラリーを直感的なやり方で管理する手段を提供してくれる。利用者は、さまざまなタイプのメディアをフィールドまたは WYSIWYG インターフェイス経由で挿入、表示、インポートできるようになる。

このモジュールの 7.x-2.1 または 7.x-3.0-alpha5 よりも前のバージョンでは、メディア ブラウザー用の入力パラメーターに対するホワイトリスト機能が不十分。

事実として、攻撃者には、ファイルをアップロードし、メディア ブラウザーを表示させるための権限がなくてはならないため、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-2.1 よりも前の Media 7.x-2.x バージョン
  • 7.x-3.0-alpha5 よりも前の Media 7.x-3.x バージョン

 Drupal コアには影響なし。拡張モジュール「Media」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Media モジュールを使用している場合は、その 7.x-2.1(安定版)または 7.x-3.0-alpha5(最新版)以降にアップグレードすることを推奨する。

 Media プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。