オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Configuration Update Manager、Mailhandler、Feedback Collect、Node feedback

Drupal セキュリティーチームからの連絡です(日本時間 2017/12/07(木)04:18 AM~)

今回は拡張モジュールが 4 つです。あまり普及していないものを除いて D8 用 Configuration Update Manager の記事だけを訳しました。他のモジュールについてはそれぞれの原文をご覧ください。

モジュール名 該当バージョン(重大性スコア)使用サイト数


Configuration Update Manager

オンラインの原文: Configuration Update Manager - Moderately critical - Cross Site Request Forgery (CSRF) - SA-CONTRIB-2017-091


概要

Configuration Update モジュールのサブモジュール Configuration Update Reports があると、モジュール、テーマ、インストレーション プロファイルによって分配(作成)された構成(設定。コンフィギュレーション)と自分のサイトのどの構成が違うのかをチェックするためのレポートを(継続的に)作成し、構成を復元、削除、インポートすることができる。

このモジュールではインポート操作における保護機能が不十分なため、クロスサイト リクエスト フォージェリー(CSRF)の脆弱性が生じる。権限のないユーザーが悪用することで、管理者は望んでもいないのに構成(設定)をインポートしてしまうよう仕向けられる可能性がある。

事実として、インポートできる設定項目は、現在、サイトにインストールされ、有効になっている、モジュール、テーマまたはインストレーション プロファイルと共に提供されているものだけであって、どんな設定値でもいいというわけではないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Configuration Update Manager モジュールとそのサブモジュール Reports を使用している場合は Configuration Update Manager 8.x-1.5 にアップデートする。

別の対処方法として、サイト上のすべての役割(ロール)における「構成をインポート(import configuration)」の権限を無効にする、または Configuration Update Reports サブモジュールをアンインストールすることも可能。

 Configuration Update Manager プロジェクト ページも参照。