オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:EU Cookie Compliance、Commerce Custom Order Status、NewsFlash、litejazz、Tapestry、Beale Street

Drupal セキュリティー チームからの連絡です(日本時間 2018/07/12(木)02:08 AM~)

今週は拡張モジュール 2 つとテーマが 4 つです。普及度の高い EU Cookie Compliance モジュールの記事だけ訳しました。他は必要に応じて原文を参照してください。

モジュール(重大性スコア)使用サイト数


テーマ(重大性スコア)使用サイト数


EU Cookie Compliance

オンラインの原文: EU Cookie Compliance - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-047


概要

EU Cookie Compliance モジュールは 2018 年 5 月 25 日に発効した「一般データ保護規則」(General Data Protection Regulation: GDPR)および 2012 年からの「プライバシー及び電子通信に関する規則」(EU Directive on Privacy and Electronic Communications)への対応に使用するもの。このモジュールがあると、ユーザーに対して「クッキーをユーザーのコンピューターに保存することと」および「ユーザーの個人情報取り扱い」に関する同意を得るためのバナーを利用できる。

このモジュールでは、サニタイズ(無害化)されない入力値があるため、クロスサイトスクリプティングにつながる可能性がある。もっとも、悪用するためには攻撃者に「EU Cookie Compliance を管理(Administer EU Cookie Compliance)」の権限がなくてはならないので脆弱性は軽減される。


解決方法

最新バージョンをインストールする。


 EU Cookie Compliance プロジェクト ページも参照。