オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 7&8 コア(極めて重大)、Media 7.x、JSON API 8.x、DRD Agent

Drupal セキュリティーチームからの連絡です(日本時間 2018/04/26(木)01:37 AM~)

今回は先日告知のあった Drupal 7 および 8 コアのセキュリティー アップデートのほか、拡張モジュールが 3 つです。そのうち、普及度の高いものだけを訳しました。必要に応じて原文を参照してください。

該当コアおよびモジュール(重大性スコア)使用サイト数


Drupal Core

オンラインの原文: Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004


遠隔コード実行の脆弱性が Drupal 7.x および 8.x における複数のサブシステム(構成要素)内に存在する。このため、Drupal サイト上で攻撃者が複数の経路を悪用する可能性が生じ、結果としてサイトが乗っ取られることになり得る。 この脆弱性は Drupal コア - 極めて重大 - 遠隔コード実行 - SA-CORE-2018-002 と関連している。SA-CORE-2018-002 は巷(ちまた)で悪用されているが、今回の脆弱性は、このリリース時点では実際に悪用されている情報は知られていない。

更新(2018/04/26) - この脆弱性は一般に悪用されている(ことが確認された)。

解決方法

最新版の Drupal 7 コアまたは 8 コアにアップデートする。

  • Drupal 7.x を使用している場合は Drupal 7.59 にアップデートする。
  • Drupal 8.5.x を使用している場合は Drupal 8.5.3 にアップデートする。
  • Drupal 8.4.x を使用している場合は Drupal 8.4.8 にアップデートする
    (Drupal 8.4.x はもはやサポート対象外であり、通常はサポート対象外マイナー リリースに対してセキュリティー リリースを提供することはない。しかし、今回はこれらのサイトもできるだけ素早くアップデートできるよう、8.4.x リリースも提供することにした。すぐに 8.4.8 へアップデートし、そのあとで 8.5.3 または最新のセキュアなバージョンへとできるだけ早くアップデートするべき)。

すぐにアップデートできない場合、または今回のセキュリティー リリース対象外のバージョンを使用している場合は、完全にアップデートできるときまでの脆弱性対策として、以下のパッチを適用してみることもできる。

:ただし、これらのパッチは対象となるサイトに SA-CORE-2018-002 用の改修策がすでに適用されている場合にのみ有効(改修されていない場合、そのサイトはすでに乗っ取られている可能性がある)。



Media

オンラインの原文: Media - Critical - Remote Code Execution - SA-CONTRIB-2018-020


概要

Media モジュールはファイルやマルチメディア素材を管理するためのフレームワークであり、拡張していくことが可能。自サイト上でもサードパーティーのサイトにあるファイルでも管理できる。

このモジュールには SA-CORE-2018-004 と同様の脆弱性があるため、遠隔コード実行(RemoteCodeExecution)の攻撃を受ける可能性がある。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x-2.x 用の Media モジュールを使用している場合は Media 7.x-2.19 にアップデートする。


JSON API

オンラインの原文: JSON API - Moderately critical - Cross Site Request Forgery - SA-CONTRIB-2018-021


概要

JSON API モジュールを利用すると、JSON API 規格に準拠した API を利用して Drupal のコンテンツや構成(設定)エンティティーに対するアクセスや操作ができる。

このモジュールでは、クッキーベースの認証を利用した認証済みトラフィックを処理する場合、クロスサイトリクエストフォージェリー(CSRF)に対する防御策がない。

事実として、攻撃者には特定タイプのエンティティーを作成または変更する権限がなくてはならないため、この脆弱性は軽減される。また、他の事前チェックをすべてスキップするような非常に特殊な CORS 設定も必要になる。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の JSON API モジュールを使用している場合は JSON API 8.x-1.16 にアップデートする。