オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:H5P 7.x、Commerce Invoices 7.x

Drupal セキュリティーチームからの連絡です(日本時間 2017/08/31(木)2:41 AM)

今回は Drupal 7 用の拡張モジュールが 2 つです。

該当するモジュールとその使用サイト数(カッコ内は重大性スコア)


以下では普及度の高い H5P に関する勧告のみ、概要をご紹介します。Commerce invoices に関しては上記のリンクから原文をご覧ください。


H5P

オンラインの原文: H5P - Critical - Reflected Cross Site Scripting (XSS) - DRUPAL-SA-CONTRIB-2017-071


概要

H5P モジュールを利用すると、インタラクティブな動画、複数の質問をまとめたセット、ドラッグ アンド ドロップの質問集、マルティプルチョイス(多肢選択方式)の質問集、ボードゲーム、プレゼンテーション、フラッシュカードなどを Drupal 上で作成できる。

このモジュールでは、テキストをページに戻して表示する際、そのテキストに対してフィルターをかける機能が不十分。このため、反射型のクロスサイトスクリプティング(XSS)の脆弱性につながる。

事実として、現行のブラウザーの多くには反射型 XSS の脆弱性に対する何らかの保護機能が備わっているため、この脆弱性は軽減される。

影響を受けるバージョン

  • 7.x-1.32 よりも前の H5P バージョン

 Drupal コアには影響なし。拡張モジュール「H5P」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の H5P モジュールを使用している場合は、VH5P 7.x-1.32 にアップデートする。

 H5P プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。