オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:CAPTCHA 7.x、Clientside Validation 7.x

Drupal セキュリティーチームからの連絡です(日本時間 2017/09/07(木)2:53 AM)

今回は CAPTCHA 関連で Drupal 7 用の拡張モジュールが 2 つです。

該当するモジュールとその使用サイト数(カッコ内は重大性スコア)


以下ではそれぞれの概要をご紹介します。


CAPTCHA

オンラインの原文: CAPTCHA - Moderately Critical - Denial of Service - SA-CONTRIB-2017-073

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-073
  • プロジェクト:CAPTCHA(サードパーティー モジュール)
  • バージョン:7.x
  • 月日: 2017 年 09 月 06 日
  • セキュリティー リスク:10/25 (重大性中程度)
    AC:Basic/A:None/CI:None/II:None/E:Proof/TD:Default
  • 脆弱性:サービス拒否(Denial of Service - DoS)

概要

CAPTCHA モジュールを利用すると、自動化されたスクリプト/ロボットがサイトにコンテンツを送信してくるのを阻止する、すなわち、スパム コメントをブロックするためのさまざまな技術を使うことができる。

このモジュールは、セッションを与えられた訪問者のセッション ID を適切に保持しない。このため、サービス拒否(DoS)攻撃につながる可能性がある。

事実として、Drupal はすべての訪問者にセッションを与えるわけではないため、この脆弱性は軽減される。特に、Varnish のような高度なキャッシング システムを使った場合は、それが当てはまる。


影響を受けるバージョン

  • 7.x-1.5 よりも前の CAPTCHA 7.x-1.x バージョン

 Drupal コアには影響なし。拡張モジュール「CAPTCHA」を使用していない場合、何もする必要なし。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の CAPTCHA モジュールを使用している場合は CAPTCHA 7.x-1.5 にアップデートする。

 CAPTCHA プロジェクト ページも参照。


Clientside Validation

オンラインの原文: Clientside Validation - Critical - Arbitary PHP Execution - DRUPAL-SA-CONTRIB-2017-072


概要

Clientside Validation モジュールを利用すると、サイトのフォームをクライアント側(JavaScript)で検証できる。

このモジュールは CAPTCHA データを検証する際に送信された POST リクエストのパラメーターを十分に検証しない。

このモジュールの 1.x バージョンでは、事実として、CAPTCHA モジュール自体と、Clientside Validation モジュールの「CAPTCHA を検証(validate captcha)」オプションの両方が有効になっていなくてはならないため、この脆弱性は軽減される(ただし、このオプションはデフォルトで有効)。

このモジュールの 2.x バージョンでは、事実として、CAPTCHA モジュール自体と、Clientside Validation モジュールに属する CAPTCHA サブモジュールの両方が有効になっていなくてはならないため、この脆弱性は軽減される。


影響を受けるバージョン

  • 7.x-1.44 よりも前の Clientside Validation 7.x-1.x バージョン
  • 7.x-2.0 beta1 よりも前の Clientside Validation 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「Clientside Validation」を使用していない場合、何もする必要なし。


解決方法

最新バージョンをインストールする。

 Clientside Validation プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。