オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:OAuth 8.x、DrupalChat 7.x

Drupal セキュリティーチームからの連絡です(日本時間 2017/07/06(木)2:42 AM)

今回は拡張モジュールが 2 つです。

拡張モジュールとその使用サイト数(カッコ内は重大性スコア)

  • OAuth 8.x (15/25 重大): 66,123 sites (全バージョンの合計)
  • DrupalChat 7.x (16/25 重大): 3,150 sites (全バージョンの合計)

以下では各勧告の概要をご紹介します。


OAuth

オンラインの原文: OAuth - Critical - Access Bypass - SA-CONTRIB-2017-056

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-056
  • プロジェクト:OAuth(サードパーティー モジュール)
  • バージョン:8.x
  • 月日: 2017 年 07 月 05 日
  • セキュリティー リスク:15/25 (重大)
    AC:Complex/A:None/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性:アクセス バイパス

概要

OAuth モジュールを利用すると、OAuth 認証プロトコルを通じてリクエストを保護することができる。

このモジュールでは、認証されたユーザーが非公開のノードなどのリソースをリクエストした状況下において、応答がキャッシュされてしまうのを避けるために Cache API に通知する機能が不十分。

事実として、攻撃者には Drupal サイト内でどのリソースが利用できるのかわかっていなくてはならないため、この問題は軽減される。

影響を受けるバージョン

  • 8.x-2.1 よりも前の OAuth 8.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「OAuth」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。また、すべてのキャッシュをクリアする必要がある。

  • Drupal 8.x 用の OAuth を使用している場合は、OAuth 8.2.1 にアップグレードすること。

 OAuth プロジェクト ページも参照。


DrupalChat

オンラインの原文: DrupalChat - Critical - Multiple vulnerabilities - SA-CONTRIB-2017-057

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-057
  • プロジェクト:DrupalChat(サードパーティー モジュール)
  • バージョン:7.x
  • 月日: 2017 年 07 月 05 日
  • セキュリティー リスク:16/25 (重大)
    AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性:クロスサイト スクリプティング(XSS)、クロスサイト リクエスト フォージェリー(CSRF)

概要

DrupalChat モジュールを利用すると、その Drupal サイトの訪問者同士が個人的にまたはグループとして、公開されたチャットルーム内でチャットすることができる。

このモジュールはチャット リクエストの有効性を確認しないため、クロスサイト リクエスト フォージェリー(CSRF)脆弱性が生じている。これによって、攻撃者はあるユーザーが別のユーザーに対して任意のチャットメッセージを送信するように仕向けることが可能。

また、このモジュールは管理者が用意したテキストをフィルターにかけないため、それがクロスサイトスクリプティング(XSS)脆弱性につながっている。

影響を受けるバージョン

  • 7.x-2.2 よりも前の DrupalChat 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「DrupalChat」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7 用の DrupalChat モジュールを使用している場合は、DrupalChat 7.x-2.6 にアップグレードすることを推奨。

 DrupalChat プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。