オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Automated Logout 7.x-4.x-dev

Drupal セキュリティーチームからの連絡です(日本時間 2017/11/02(木)04:05 AM)

今回は拡張モジュールが 1 つです。

該当するモジュールとその使用サイト数(カッコ内は重大性スコア)


以下では Automated Logout に関する勧告の概要をご紹介します。


Automated Logout

オンラインの原文: Automated Logout - Moderately critical - Cross Site Scripting - SA-CONTRIB-2017-081


概要

Automated Logout モジュールを利用すると、サイト管理者は、Web サイトを一定時間操作していないユーザーをログアウトさせることができる(時間の長さは指定可)。このモジュールは高度にカスタマイズ可能で、ユーザーの役割(ロール)によって強制的にログアウトさせる「サイト ポリシー」も備わっている。

このモジュールでは、設定情報内に保存されるユーザー入力テキストに対するフィルター機能が不十分。この結果、常にクロスサイト スクリプティング(XSS)の脆弱性がある状態になっている。

事実として、攻撃者には「Autologout を管理(Administer Autologout)」の権限がなくてはならないので、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Automated Logout モジュールを使用している場合は Automated Logout 7.x-4.5 にアップデートする。