オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Bootstrap 8.x、Display Suite 8.x

Drupal セキュリティーチームからの連絡です(日本時間 2017/05/18(木)1:58 AM から)

セキュリティー勧告、今回は拡張テーマ、拡張モジュールが 1 つずつです。

モジュールとその使用サイト数(カッコ内は重大性スコア)

  • Bootstrap 8.x(テーマ) (18/25 重大) : 142,665 sites (全バージョンの合計)
  • Display Suite 8.x (13/25 重大性中程度): 161,347 sites(同上)

以下では、それぞれの概要をご紹介します。


Bootstrap

オンラインの原文: Bootstrap - Critical - Information Disclosure - SA-CONTRIB-2017-048


概要

このテーマは Bootstrap フレームワークと Drupal の橋渡しをしてくれる。

パスワードとして不適切な値が入力された場合、このテーマは、その値を排除する機能が不十分。

影響を受けるバージョン

  • 8.x-3.5 よりも前の Bootstrap 8.x-3.x バージョン

 Drupal コアには影響なし。拡張テーマ「Bootstrap」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 8 用の Bootstrap テーマを使用している場合は、Bootstrap 8.x-3.5 にアップグレードすることを推奨。

 Bootstrap プロジェクト ページも参照。


Display Suite

オンラインの原文: Display Suite - Moderately Critical - Cross Site Scripting - SA-CONTRIB-2017-049

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-049
  • プロジェクト:Display Suite(サードパーティー モジュール)
  • バージョン:8.x
  • 月日: 2017 年 05 月 17 日
  • セキュリティー リスク:13/25 (重大性中程度)
    AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
  • 脆弱性:クロスサイト スクリプティング

概要

Display Suite モジュールは、ドラッグ アンド ドロップ インターフェイスを使ってコンテンツの表示をフルにコントロールできるようにしてくれる。

特定の状況において、Display Suite は出力内容のサニタイズ処理を適切に行わない。このため、悪意のあるユーザーがページ内にスクリプトを埋め込めば、結果としてクロスサイトスクリプティング(XSS)の脆弱性になり得る。

影響を受けるバージョン

  • 8.x-2.7 よりも前の Display Suite 8.x-2.x バージョン
  • 8.x-3.0 よりも前の Display Suite 8.x-3.x バージョン

 Drupal コアには影響なし。拡張モジュール「Display Suite」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Display Suite 8.x-2.x を使用している場合は、Display Suite 8.x-2.7 にアップグレードする。
  • Display Suite 8.x-3.x を使用している場合は、Display Suite 8.x-3.0 にアップグレードする。

 Display Suite プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。