オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告(修正情報):DrupalChat 7.x、Drupal Remote Dashboard 7.x, 8.x

Drupal セキュリティーチームからの連絡です(日本時間 2017/07/13(木)2:00 AM)

今回は単なる修正情報です。先週の「DrupalChat」7.x5 月 11 日にお伝えした「Drupal Remote Dashboard」7.x, 8.x に関して勧告文内に記載されていたモジュールの最新バージョン番号が違っていたので修正したとのことです。

拡張モジュールとその使用サイト数(カッコ内は重大性スコア)

以下では使用サイトが比較的多い DrupalChat に関する勧告の概要のみをご紹介します。Drupal Remote Dashboard に関しては上記の原文をご覧ください。


DrupalChat

オンラインの原文: DrupalChat - Critical - Multiple vulnerabilities - SA-CONTRIB-2017-057

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-057
  • プロジェクト:DrupalChat(サードパーティー モジュール)
  • バージョン:7.x
  • 月日: 2017 年 07 月 05 日
  • セキュリティー リスク:16/25 (重大)
    AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱性:クロスサイト スクリプティング(XSS)、クロスサイト リクエスト フォージェリー(CSRF)

概要

更新情報(2017/07/12):このセキュリティー勧告は当初、バージョン 2.6 を推奨していたが、その番号付けが誤っていた。バージョン 2.7 を推奨するよう、勧告を更新した。混乱させてすみません。

DrupalChat モジュールを利用すると、その Drupal サイトの訪問者同士が個人的にまたはグループとして、公開されたチャットルーム内でチャットすることができる。

このモジュールはチャット リクエストの有効性を確認しないため、クロスサイト リクエスト フォージェリー(CSRF)脆弱性が生じている。これによって、攻撃者はあるユーザーが別のユーザーに対して任意のチャットメッセージを送信するように仕向けることが可能。

また、このモジュールは管理者が用意したテキストをフィルターにかけないため、それがクロスサイトスクリプティング(XSS)脆弱性につながっている。

影響を受けるバージョン

  • 7.x-2.7 よりも前の DrupalChat 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「DrupalChat」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7 用の DrupalChat モジュールを使用している場合は、DrupalChat 7.x-2.7 にアップグレードすることを推奨。

 DrupalChat プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。