オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Node View Permissions、Stacks

Drupal セキュリティーチームからの連絡です(日本時間 2018/01/11(木)04:34 AM~)

今週は拡張モジュールが 2 つです。そのうち、使用サイトが 5,000 以上ある Node View Permissions の情報だけ訳しました。Stacks については原文をご覧ください。

モジュール名(重大性スコア)使用サイト数


Node View Permissions

オンラインの原文: Node View Permissions - Moderately critical - Access Bypass - SA-CONTRIB-2018-002


概要

Node View Permissions モジュールを利用すると、権限ページ上で各コンテンツ タイプ用に「自分のコンテンツを閲覧(View own content)」および「すべてのコンテンツを閲覧(View any content)」の権限を設定できる。

このモジュールでは、これらの権限を与えられたユーザーが、本来なら閲覧できてはいけないはずの非掲載コンテンツも閲覧できてしまうという脆弱性がある。

この問題は、セキュリティー チームが通常行っている作業プロセスの範囲外で、メンテナーによって解消されていた。いくつかの問題点には本モジュールの 7.x バージョンにおいて 2014 年にパッチが当てられていた。8.x 版は過去 6 か月以内にアップデートされた。現在はどちらのバージョンもセキュリティー アップデートのフラグが付けられている。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Node View Permissions モジュールを使用している場合は Node View Permissions 7.x-1.5 またはそれ以降のバージョンにアップデートする。
  • Drupal 8.x 用の Node View Permissions モジュールを使用している場合は Node View Permissions 8.x-1.1 にアップデートする。