オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:TFA Basic plugins 7.x、Generate Password 7.x、Mass Password Reset 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/06/28(木)03:25 AM)

今回は D7 用の拡張モジュールが 3 つです。そのうち、使用サイト数が 5,000 以上ある 2 つだけを訳しました。

モジュール(重大性スコア)使用サイト数

モジュール


TFA Basic plugins

オンラインの原文: TFA Basic plugins - Less critical - Insecure Randomness - SA-CONTRIB-2018-044


概要

TFA Basic モジュールを利用すると、E メールや SMS 経由で送信する TOTP(タイムベースのワンタイム パスワード)やワンタイム コードを含む、さまざまなプラグインを通じて二要素認証を利用できる。 このモジュールは強力なランダム性のあるコードを使用していないので(セキュリティー的に)弱い、予測可能なワンタイム ログイン コードが生成され、それが SMS で送信されることになる。この弱さは、より一般的な TOTP 第二要素(TOTP second factor)には影響しない。

事実として、この機能を利用するサイトはワンタイム ログイン コードを SMS で送信するよう設定されている必要があり、それは一般的ではないため、この脆弱性は軽減される。


解決方法

  • Drupal 7.x 用の TFA Basic モジュールを使用している場合は TFA Basic 7.x-1.1 にアップデートする。

 TFA Basic plugins プロジェクト ページも参照。



Generate Password

オンラインの原文: Generate Password - Less critical - Insecure Randomness - SA-CONTRIB-2018-042


概要

Generate Password モジュールを利用すると、新規ユーザー追加ページ(管理(ユーザー) > ユーザーを追加)の「パスワード」欄を入力必須ではなくする、または非表示にする。パスワード欄への入力値がない場合はシステムがパスワードを生成する。

このモジュールは強力なランダム性のあるコードを使用していないので(セキュリティー的に)弱い、予測可能なパスワードが生成されてしまう。

事実として、この脆弱性を悪用するには、該当するサイトにおいてパスワードが攻撃者にわかるように設定される必要があり、それは一般的ではないため、この脆弱性は軽減される。


CVE 識別番号(CVE identifier)

CVE 識別番号が申請され、Drupal セキュリティー チームの手順に従うかたちで、発行に伴って追加される予定。


解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Generate Password 7.x-1.x モジュールを使用している場合は Generate Password 7.x-1.1 にアップデートする。

 Generate Password プロジェクト ページも参照。