オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 8 コア、Views 7、Entity reference 7、Views refresh

Drupal セキュリティーチームからの連絡です(日本時間 2017/08/17(木)2:31 AM)

今回は Drupal 8 コア、拡張モジュール 3 つ、そしてそのセキュリティー勧告に関する重要な更新情報です。

該当するコアおよびモジュールとその使用サイト数(カッコ内は重大性スコア)


以下では、Drupal コア、Views、それらに関連した更新情報、そして Entity Reference に関する発表のみ、概要をご紹介します。Views refresh に関しては上記のリンクから原文をご覧ください。


Drupal 8 コア

オンラインの原文: Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004

Drupal 8.3.7 はセキュリティーの脆弱性を修正したメンテナンス リリース。

  Drupal 8.3.7 をダウンロードする  

既存の Drupal 8 サイトはアップデートすることを強く推奨(必要に応じて Drupal 8 のアップデート手順を参照)。このリリースではセキュリティー問題のみが解消されている。セキュリティーに関係ないバグの修正や新しい機能の追加はない。重要な変更点およびこのリリースに影響する既知の問題点に関する詳細は 8.3.7 リリース ノートを参照のこと。このバージョンで修正されたセキュリティー脆弱性の詳細は以下のとおり。


概要

Views - アクセス バイパス - 重大性中程度 - Drupal 8 - CVE-2017-6923

ビュー(View)を作成する際、オプションとして、表示されたデータをフィルター パラメーター経由でアップデートするために Ajax を使うことができる。Views サブシステム/モジュールは、Ajax を使うよう設定されたビューだけが Ajax エンドポイントにアクセスできるよう制限していなかった。この問題は、そのビューにアクセス制限がかかっていれば軽減される。

ベストプラクティス(最善慣行)としては、すべてのビュー(View)に対して常に何らかのアクセス制限を設けるのがよい。それは、そのビューの内容を表示するために別のモジュールを使っている場合にも当てはまる。

REST API はコメントの承認を回避できてしまう - アクセス バイパス - 重大性中程度 - Drupal 8 - CVE-2017-6924

REST API を使用している場合、適切な権限のないユーザーが REST 経由でコメントを投稿し、投稿権限がないにもかかわらず、その投稿が承認されてしまう可能性がある。

この問題は、RESTful Web Services (rest) モジュールとコメント エンティティー REST リソースが有効になっているサイトにのみ影響(発生)する。また、攻撃者は、そのサイトにコメントを投稿する権限のあるユーザー アカウントにアクセスできる、または匿名ユーザーがそのサイトにコメントを投稿できるようになっている必要がある(ため、脆弱性が軽減される)

UUID のないエンティティーまたは保護された複数のレビジョンがあるエンティティーに対するアクセス バイパス - アクセス バイパス - 重大 - Drupal 8 - CVE-2017-6925

エンティティー アクセス システムに脆弱性があったため、エンティティーを閲覧、作成、更新または削除する不当なアクセスが許可されてしまう可能性がある。この影響を受けるのは以下のエンティティーのみ。すなわち、UUID を使用しない、または UUID のないエンティティー、そして、同じエンティティーの異なるレビジョンに異なるアクセス制限をかけているエンティティー。

影響を受けるバージョン

  • 8.3.7 よりも前の Drupal コア 8.x バージョン

解決方法

最新バージョンをインストールする。

 Drupal 7 コアには影響なし。ただし、Drupal 7 でも Views モジュールには影響があるので注意。詳細は次項または原文「Views のセキュリティー勧告」を参照。

 Drupal プロジェクト ページも参照。


Views

オンラインの原文: Views - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-068


概要

ビューを作成する際、オプションとして、表示されたデータをフィルター パラメーター経由でアップデートするために Ajax を使うことができる。Views サブシステム/モジュールは、Ajax を使うよう設定されたビューだけが Ajax エンドポイントにアクセスできるよう制限していなかった。この問題は、そのビューにアクセス制限がかかっていれば軽減される。

ベストプラクティス(最善慣行)としては、すべてのビューに対して常に何らかのアクセス制限を設けるのがよい。それは、そのビューの内容を表示するために別のモジュールを使っている場合にも当てはまる。

影響を受けるバージョン

  • 7.x-3.17 よりも前の Views バージョン

 Drupal コアには影響なし。拡張モジュール「Views」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Views モジュールを使用している場合は、Views 7.x-3.17 にアップデートする。

 Views プロジェクト ページも参照。


重要:Drupal 拡張(貢献)モジュール(全般)

オンラインの原文: Update on Views Ajax vulnerability for Drupal 7 Views and Drupal 8 core. -- PSA-2017-002

  • 勧告 ID:DRUPAL-PSA-2017-002
  • プロジェクト:Drupal 拡張(貢献)モジュール
  • バージョン:7.x、8.x
  • 月日: 2017 年 08 月 16 日

概要

Drupal セキュリティー チームは、2017 年 8 月 16 日に公表した(上記の)Views Ajax アクセス バイパス脆弱性の問題(DRUPAL-SA-CONTRIB-2017-068 および SA-CORE-2017-004)は当初発表したよりも深刻であることを認識した。というのも、広く利用されている拡張モジュールの多くは、それら自体が提供するデフォルトのビュー(View)へのアクセス制限を設定してないため。デフォルト(マスター)表示に対するアクセス コントロールがない、あらゆるビューには脆弱性があり得る。この脆弱性を悪用するには何の認証も必要ない。悪用されると、非公開のデータが公開されてしまうことになる。

7.x-3.17 よりも前の Views または 8.3.7 よりも前の Drupal 8 コア(8.1.x および 8.2.x も含む)を使用しているサイトは即刻、アップデートするべき。Drupal 7 は Views モジュールが有効になっている場合にのみ影響を受ける。

Views をアップデートできない場合、非公開にしておきたいデータを含むビューを Views UI(ビューの編集画面)で編集し、それらが「役割が必要(require a role)」、「権限が必要(require a persmission)」といった権限コントロールのどれかを必ず使うようにすることで問題を軽減できる。詳細は Views permissions に関するマニュアルのページ(英語)を参照。


Entity Reference

オンラインの原文: Entity Reference - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-067


概要

Entity Reference モジュールを使うと、任意のエンティティーを参照できるフィールド タイプを利用できるようになる。

脆弱性のある設定において、攻撃者は、アクセスできないはずのノードのタイトルを変更できてしまう可能性がある。

「simple」エンティティー セレクターを使用しているエンティティー リファレンス フィールドだけが脆弱であり、何らかのアクセス コントロール(ノード アクセス)が行われていれば攻撃は不可能である(攻撃者のロールには、コンテンツを閲覧できる「コンテンツにアクセス」権限だけがない)ため、この問題は軽減される。

影響を受けるバージョン

  • 7.x-1.5 よりも前の Entity Reference 7.x-1.x バージョン

 Drupal コアには影響なし。拡張モジュール「Entity Reference」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Entity Reference モジュールを使用している場合は Entity Reference 7.x-1.5 にアップデートする。

 Entity Reference プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。