オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal Core 8.x (CKEditor)、Display Suite 7.x, Menu Import and Export 8.x

Drupal セキュリティーチームからの連絡です(日本時間 2018/04/19(木)03:53 AM~)

今週は Drupal 8 Core と拡張モジュールが 3 つです(D7 CKEditor を含む)。D8 Core は CKEditor JavaScript ライブラリーの脆弱性解消に伴うアップデートの勧告。モジュールは普及率の高い Display Suite のみ訳しました。他のモジュールについては原文をご覧ください。

該当モジュール名(重大性スコア)使用サイト数


Drupal Core

オンラインの原文: Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2018-003


概要

Drupal コアにはサードパーティー製 JavaScript ライブラリーの CKEditor が含まれている。この CKEditor において、クロスサイト スクリプティング(XSS)の脆弱性が解消された。この脆弱性は(Drupal 8 コアでも使われている)image2 プラグインを使用した場合、CKEditor 内でクロスサイト スクリプティングが実行可能になるという事実から来ている。

脆弱性を解消し、修正およびリリースのプロセスを連携し、Drupal コアのセキュリティー管理スケジュールに合わせてくれたことを CKEditor チームに感謝する。


解決方法

  • Drupal 8 を使用している場合は Drupal 8.5.2 または Drupal 8.4.7にアップデートする。
  • Drupal 7.x 用の CKEditor モジュールは、V. 7.x-1.18 を CDN から使っている場合、そのライブラリーには、この脆弱性がないため、今回の影響を受けない。
  • それ以外の Drupal 7 & CKEditor、たとえば、WYSIWYG モジュールと併用する、またはローカルで CKEditor モジュールを使用している場合など、その CKEditor のバージョンが 4.5.11 から 4.9.1 までに含まれている場合は、アップデートする。すなわち、CKEditor のサイトから CKEditor 4.9.2 をダウンロードして、サードパーティー JavaScript ライブラリーを更新すること。

Display Suite

オンラインの原文: Display Suite - Critical - Cross site scripting (XSS) - SA-CONTRIB-2018-019


概要

Display Suite モジュールを利用すると、ドラッグ アンド ドロップ 操作の UI を使ってコンテンツの表示をフルにコントロールできる。

このモジュールでは、URL 経由で動的に与えられた閲覧モードの認証が不十分。そのため、反射型クロスサイト スクリプティング攻撃につながる可能性がある。

現在普及しているほとんどのブラウザーには URL 経由の反射型クロスサイトスクリプティング攻撃に対する保護対策が備わっているため、その事実によってのみ、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Display Suite 7.x-1.x モジュールを使用している場合は Display Suite 7.x-1.10 にアップデートする。
  • Drupal 7.x 用の Display Suite 7.x-2.x モジュールを使用している場合は Display Suite 7.x-2.15 にアップデートする。