オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Paragraphs 8.x、Session Limit 7.x、8.x、Decoupled Router

Drupal セキュリティー チームからの連絡です(日本時間 2018/11/01(木)03:13 AM~)

今週は拡張モジュールが 3 つです。普及度の高い Paragraphs と Session Limit の記事だけを訳しました。

モジュール(重大性スコア)使用サイト数



Paragraphs 8.x

オンラインの原文: Paragraphs - Moderately critical - Access Bypass - SA-CONTRIB-2018-073


概要

Paragraphs モジュールを利用すると、Drupal サイト構築者はコンテンツをよりすっきりと整理できるようになる。エンド ユーザーにとってはコンテンツの作成/編集の可能性が広がる。

このモジュールでは、新しいパラグラフ エンティティを作成するアクセスに対するチェックが不十分。このため、他の拡張(貢献)モジュールと組み合わせて使用する場合、アクセス バイパスの問題につながる可能性がある。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Paragraphs モジュールを使用している場合は Paragraphs 8.x-1.5 にアップデートする。

 Paragraphs プロジェクト ページも参照。



Session Limit

オンラインの原文: Session Limit - Critical - Insecure Session Management - SA-CONTRIB-2018-072


概要

Session Limit モジュールを利用すると、サイト管理者は、サイト ユーザーのアクティブ セッション数に関するポリシーを設定できる。通常は、この値を 1 にセットし、同じユーザー アカウントで同時に複数回ログインできないようにする。

このモジュールは、設定状態によって、すでにアクティブなセションがほかにあるユーザーがログインすると、そのユーザーに対して、ログインを続行するにはどちらのセッションを閉じるか尋ねることがある。その際、セッションのリストが十分にトークン化されていないため、フォームを調べると、そのユーザーのセッション キーが見つかってしまう可能性がある。

事実として、この問題を悪用するには、攻撃者がすでに HTML ページのコンテンツを盗み見ることができる必要があるため、この脆弱性は軽減される。ただし、盗み見ることができるとしたら、それはクロスサイト スクリプティングから来るものであり、その場合は通常のクロスサイト スクリプティング脆弱性よりもさらに悪い結果につながる。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Session Limit モジュールを使用している場合は Session Limit 7.x-2.3 にアップデートする。
  • Drupal 8.x 用の Session Limit モジュールを使用している場合は Session Limit 8.x-1.0-beta3 にアップデートする。

 Session Limit プロジェクト ページも参照。