オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal Core 7.x & 8.x、Mime Mail 7.x、HTML Mail 7.x、Search Autocomplete 7.x、Workbench Moderation 8.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/10/18(木)07:54 AM~)

今週は Drupal 7 と 8 のコアと拡張モジュールが 4 つです。特にコアは、できるだけ早くアップデートすることをおすすめします。

モジュール(重大性スコア)使用サイト数



Drupal Core 7.x、8.x

オンラインの原文: Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006

  • プロジェクト:Drupal core
  • バージョン:7.x、8.x
  • 月日: 2018 年 10 月 17 日
  • 多重の脆弱性(原文には下記の個別モジュールに関する記載のみ)

概要

コンテンツ モデレーション - 重大性中程度 - アクセス バイパス - Drupal 8

特定の状況において、コンテンツ モデレーションは、ユーザーが特定のトランジション(推移)を使用する際、そのユーザーアクセスのチェックが行えない。このため、アクセス バイパスにつながる。

この問題を解決するため、コンテンツ モデレーションに以下の変更が加えられた。それによって後方互換性に影響が出る可能性がある:

  • ModerationStateConstraintValidator
    このサービスには 2 つのサービスが新たに挿入された。このサービスをサブクラスする場合、コンストラクタがオーバーライドされたら、必ずこれらの追加依存性がそのコンストラクタに渡されるようにしなくてはならない。
  • StateTransitionValidationInterface
    このインターフェイスメソッドが1つ追加された。StateTransitionValidation を拡張しない、このインターフェイスの実装は、このメソッドを実装するべき。
    StateTransitionValidation から拡張する実装は、変更したすべての動作内容が、この新しいメソッドにも必ず反映されているようにするべき。

ユーザー権限

以前は、コンテンツ モデレーション トランジションを使用するアクセス権限の全くないユーザーには、コンテンツの状態(ステート)が変わらないかぎり、コンテンツをアップデートできる暗黙(事実上)のアクセス権限が与えられていた。それが、今回、レビジョン間でコンテンツの状態が変わらないシナリオにおいて、すべてのユーザーに対して、関連したトランジションへのアクセスが認められるようになった。


URL エイリアス経由の外部 URL インジェクション - 重大性中程度 - オープン リダイレクト - Drupal 7 および Drupal 8

Path モジュールを利用すると、「管理者パス(administer paths)」のあるユーザーは、コンテンツにわかりやすい URL を付けることができる。
特定の状況において、そのユーザーは、悪意のある URL へとオープンなリダイレクトを引き起こす特定のパスを入力することが可能。

事実として、これを悪用するには、そのユーザーに管理者パスが必要なため、この問題は軽減される。


匿名のオープン リダイレクト - 重大性中程度 - オープン リダイレクト - Drupal 8

Drupal コアと貢献モジュールは、現在のページのアクションが完了したあと、ユーザーを新しいロケーションにリダイレクトするため、よく "destination"(目的地)クエリ ストリング パラメーターを使用する。特定の状況において、悪意のあるユーザーは、このパラメーターを使って、ユーザーをサードパーティーの Web サイトへとリダイレクトする URL を仕込むことが可能。これはユーザーを潜在的なソーシャル エンジニアリング攻撃にさらすことになる。
この脆弱性は文書が公開されている。


RedirectResponseSubscriber イベント ハンドラーの廃止

解決策の一部として、 Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination が削除された。これは公式な機能だが、イベント サブスクライバー用 API ポリシーに沿った API とは見なされない。 そのクラスを拡張した場合、またはそのメソッドを呼ぶ場合、該当するパッチ内の変更に合わせて自身の実装を見直すこと。誤った意味でのセキュリティーを防ぐため、既存の機能は撤廃された。


DefaultMailSystem::mail() における注入(インジェクション) - 重大 - 遠隔コード実行 - Drupal 7 および Drupal 8

E メールを送る際、シェル引数用の変数に対するサニタイズ処理が行われていない場合があり、遠隔コード実行につながる可能性があった。


Contextual Links 検証 - 重大 - 遠隔コード実行 - Drupal 8

Contextual Links モジュールは、リクエストされたコンテクスチュアル リンクを十分に検証しない。

事実として、攻撃者には「コンテクスチュアル リンクにアクセス(access contextual links)」の権限を持った役割がなくてはならないので、この脆弱性は軽減される。


解決方法

Drupal 7 または 8 の最新バージョンにアップグレードする。

  • Drupal 7.x を使用している場合は Drupal 7.60 にアップデートする。
  • Drupal 8.6.x を使用している場合は Drupal 8.6.2 にアップデートする。
  • Drupal 8.5.x を使用している場合は Drupal 8.5.8 にアップデートする。

Drupal 8.5.x よりも前の Drupal 8 マイナー バージョンはサポート対象外のため、セキュリティー対応策は提供されない。このため、古いバージョンを利用しているサイトはすぐに上記の 8.5.x にアップデートするべき。8.5.x には、2019 年 5 月までセキュリティー対応策が提供される予定。



Mime Mail

オンラインの原文: Mime Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-068


概要

Mime Mail モジュールを利用すると、MIME エンコードされた E メールを、埋め込み画像および添付ファイルと共に送信することができる。

このモジュールは、E メール送信の際、シェル引数用の変数に対するサニタイズ処理が不十分なことがある。このため、任意の遠隔コード実行につながる可能性がある。

この問題は Drupal Core release SA-CORE-2018-006と関連している。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Mime Mail モジュールを使用している場合は Mime Mail 7.x-1.1 にアップデートする。

 Mime Mail プロジェクト ページも参照。



HTML Mail

オンラインの原文: HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069


概要

HTML Mail モジュールを利用すると、Web サイトに対してテーマを適用するのと同じように、送信するメッセージにもビジュアルの指定が可能になる。

E メールを送る際、シェル引数用の変数に対するサニタイズ処理が行われていない場合があり、遠隔コード実行につながる可能性があった。

この問題は Drupal Core release SA-CORE-2018-006と関連している。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の HTML Mail モジュールを使用している場合は HTML Mail 7.x-2.71 にアップデートする。
  • HTML Mail 7.x-2.65 を使用している場合は、セキュリティー パッチだけを当てた HTML Mail 7.x-2.66 もあるが、多数のバグが解消されている 7.x-2.66 を推奨。

 HTML Mail プロジェクト ページも参照。



Workbench Moderation

オンラインの原文: Workbench Moderation - Moderately critical - Access bypass - SA-CONTRIB-2018-067


概要

Workbench Moderation モジュールを利用すると、Drupal コア標準のノード状態「非掲載」、「掲載」の間に任意のモデレーション状態を加えることができる。それによって、ノードが公開されたときのノード レビジョンの振る舞いに影響を与える。

特定の状況において、コンテンツ モデレーションは、ユーザーが特定のトランジション(推移)を使用する際、そのユーザーアクセスのチェックが行えない。このため、アクセス バイパスにつながる。

この問題は Drupal Core release SA-CORE-2018-006と関連している。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Workbench Moderation モジュールを使用している場合は Workbench Moderation 8.x-1.4 にアップデートする。

 Drupal core プロジェクト ページも参照。



Search Autocomplete

オンラインの原文: Search Autocomplete - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-070


概要

Search Autocomplete モジュールを利用すると、Web サイトからのデータ(ノードやコメントなど)を使ってテキスト欄の入力を自動補完することができる。

このモジュールでは、自動補完項目内にあるユーザー入力テキストに対してフィルターをかける機能が不十分。このため、クロスサイト スクリプティングの脆弱性につながる。

この脆弱性は、ノード、ユーザー、コメントなどの自動補完項目を作成できる、あらゆるユーザーによって悪用される可能性がある。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Search Autocomplete モジュールを使用している場合は Search Autocomplete 7.x-4.8 にアップデートする。

 Search Autocomplete プロジェクト ページも参照。