オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Printer, email and PDF versions 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/10/04(木)03:35 AM)

今週は拡張モジュールが 1 つです。重大性スコアが比較的高いので使用している場合は早急な対応が必要です。

モジュール(重大性スコア)使用サイト数



Printer, email and PDF versions

オンラインの原文: Printer, email and PDF versions - Highly critical - Remote Code Execution - SA-CONTRIB-2018-063


概要

Printer, email and PDF versions モジュールはコンテンツを印刷に適した形で出力してくれる。その出力形式には E メールでの送信および PDF バージョンも含まれる。

このモジュールでは wkhtmltopdf executable に渡される引数に対するサニタイズ処理が不十分。このため、リモートの攻撃者が任意のシェル コマンドを実行できてしまう。また、このモジュールでは dompdf に渡される HTML コンテンツに対するサニタイズも不十分なため、攻撃者に権限があれば任意の PHP コードを実行することが可能。

事実として、該当する Web サイトでは wkhtmltopdf または dompdf、いずれかのサブモジュールが有効化され、PDF 生成ツールとして選択されていなくてはならないため、この脆弱性は軽減される。また、dompdf 脆弱性の場合、攻撃者はそのサイトにコンテンツを書き込むことができなくてはならない。


解決方法

最新バージョンをインストールする。

回避策として、PDF の生成機能を無効化する、または PDF 生成ライブラリーを他の対応バージョンに置き換えることも可能。

 Printer, email and PDF versions プロジェクト ページも参照。