オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Site verification 7.x、Custom Landing Page Builder

Drupal セキュリティーチームからの連絡です(日本時間 2017/05/25(木)2:41 AM から)

今回は拡張テーマが 2 つです。

モジュールとその使用サイト数(カッコ内は重大性スコア)

以下では、普及度の高い Site verification に関する概要のみ、ご紹介します。Custom Landing Page Builder については上記のリンクから原文をご覧ください。


Site verification

オンラインの原文: Site Verify - Moderately Critical - Cross Site Scripting - SA-CONTRIB-2017-051


概要

Site verification モジュールは、特権のあるユーザーがファイルをアップロードする、またはメタ タグを使うことで Google Webmaster Tools などのサービスでサイトを認証できるようにする。

このモジュールは入力データのサニタイズ処理またはアップロードの制限が不十分。

事実として、攻撃者には「Site verify の管理(administer site verify)」の権限がなくてはならないため、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-1.2 よりも前の Site verification 7.x-1.x バージョン

 Drupal コアには影響なし。拡張モジュール「Site verification」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Site verification モジュールを使用している場合は、Site verification 7.x-1.2 にアップグレードすることを推奨。

 Site verification プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。