オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Facebook Like Button、Relation、Session Cache API、Better field descriptions

Drupal セキュリティーチームからの連絡です(日本時間 2017/08/10(木)1:24 AM)

今回は拡張モジュールが 4 つです。

該当するモジュールとその使用サイト数

  • Facebook Like Button 7.x (13/25 重大性中程度): 9,307 sites (全バージョンの合計)
  • Relation 全バージョン(サポート対象外): 9,157 sites (全バージョンの合計)
  • Session Cache API 7.x, 8.x (18/25 重大性中程度): 4,076 sites (全バージョンの合計)
  • Better field descriptions 8.x (13/25 重大性中程度): 301 sites (全バージョンの合計)

以下では使用サイトが比較的多い 3 つのみ、概要をご紹介します。Better field descriptions に関しては上記のリンクから原文をご覧ください。


Facebook Like Button

オンラインの原文: Facebook Like Button - Moderately Critical - XSS - DRUPAL-SA-CONTRIB-2017-066


概要

このモジュールはノード ページおよびブロックに Facebook の「いいね」ボタンを付けてくれる。

カスタムの CSS ルールを使うように設定されていると、このモジュールは出力データを十分にサニタイズしない。

事実として、攻撃者には「fblikebutton の管理(administer fblikebutton)」の権限を備えたロールがないといけないので、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-2.6 よりも前の Facebook Like Button 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「Facebook Like Button」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Facebook Like Button モジュールを使用している場合は、Facebook Like Button 7.x-2.6 にアップデートするべき。

 Facebook Like Button プロジェクト ページも参照。


Relation

オンラインの原文: Relation - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-063

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-063
  • プロジェクト:Relation(サードパーティー モジュール)
  • バージョン:7.x
  • 月日: 2017 年 08 月 09 日
  • セキュリティー リスク:14/25 (重大性中程度)
    AC:None/A:User/CI:Some/II:None/E:Exploit/TD:Uncommon
  • 脆弱性:アクセス バイパス

概要

Relation モジュールを使うと、エンティティー同士の関係をフィールド化可能なエンティティーとして保持できるようになる。

Relation Dummy Field モジュール ウィジェットと関連したエンティティーのレーベルを表示する場合、このモジュールはパーミッションを十分にチェックしない。

事実として、オプションである Relation Dummy Field モジュールが有効化され、そのモジュールによって提供されたウィジェットで関連したエンティティーを表示するよう、何らかのエンティティーが設定されている必要があるため、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-1.1 よりも前の Relation 7.x-1.x バージョン

 Drupal コアには影響なし。拡張モジュール「Relation」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

 Relation プロジェクト ページも参照。


Session Cache API

オンラインの原文: Session Cache API - Critical - Multiple vulnerabilities - DRUPAL-SA-CONTRIB-2017-065


概要

Session Cache API モジュールはシリアライゼーションの行い方が安全ではない。

影響を受けるバージョン

  • Session Cache API 7.x-1.4

 Drupal コアには影響なし。拡張モジュール「Session Cache API」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

 Session Cache API プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。