オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Custom Tokens

Drupal セキュリティー チームからの連絡です(日本時間 2018/06/14(木)01:42 AM)

今回は Custom Tokens という拡張モジュール 1 つだけです。

モジュール(重大性スコア)使用サイト数

モジュール

  • Custom Tokens (15/25 重大 サポート対象外): 30,898 sites

Custom Tokens

オンラインの原文: Custom Tokens - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-041


概要

Custom Tokens モジュールを利用すると、カスタムのトークンを作って Token API 経由で他のモジュールとの連携をより強化することができる。

カスタム トークンの権限は十分に信頼できる役割(ロール)にのみ与えられるべきだが、このモジュールはその対象を十分にチェックしない。

事実として、攻撃者には「カスタム トークンを管理(administer custom tokens)」の権限がなくてはならないので、この脆弱性は軽減される。

CVE 識別番号(CVE identifier)

CVE 識別番号が申請され、Drupal セキュリティー チームの手順に従うかたちで、発行に伴って追加される予定。

解決方法

最新バージョンをインストールし、権限設定をひととおり確認する。

注意:以下のバージョンにアップデートしたあと、さらに設定(確認操作)が必要。

このモジュールを使用している場合、管理画面の「ユーザー」>「権限」ページを開き、モジュールによって定義された「カスタム トークンを管理(administer custom tokens)」のような権限が、十分に信頼できるユーザーのみに与えられていることを確認するべき。

  • Drupal 7.x 用の Custom Tokens (1.x) モジュールを使用している場合は Custom Tokens 7.x-1.2 にアップデートする。
  • Drupal 7.x 用の Custom Tokens (2.x) モジュールを使用している場合は Custom Tokens 7.x-2.0 にアップデートする。

 Custom Tokens プロジェクト ページも参照。