オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Bootstrap 7、8(テーマ)、Date Reminder、GatherContent

Drupal セキュリティー チームからの連絡です(日本時間 2018/11/29(木)03:57 AM~)

今週はテーマが 1 つ(Bootstrap)と拡張モジュールが 2 つです。モジュールはどちらも普及度が低いので訳しませんでした。

テーマおよびモジュール(重大性スコア)使用サイト数

 


Bootstrap(テーマ)

オンラインの原文: Bootstrap - Moderately critical - Cross site scripting - SA-CONTRIB-2018-074

 

概要

ベーステーマ Bootstrap は、Drupal と Bootstrap フレームワークの橋渡しをする。

このテーマでは、モーダル、ポップオーバー、ツールチップを表示する特定のシナリオにおいて、ターゲットに対するフィルター機能が不十分。

事実として、攻撃者は以下のいずれかを行える必要があるため、この脆弱性は軽減される。

  1. 悪意のあるコードを注入することによってデータ ターゲット属性の値を供給するカスタム コンテンツの編集/保存
  2. 悪意のあるコードを注入することによってデータ ターゲット属性をさらに悪用するページへのカスタム マークアップ注入。すでにこのレベルのアクセスができる場合、この攻撃方法をとる可能性は極めて低い。

 

注:このベーステーマには標準状態でこうした悪用の機会が備わっているわけではない。しかし、カスタムのサブテーマは、ユーザーからの入力に対して XSS(クロスサイト スクリプティング)対策のサニタイズまたはフィルターをきちんと適用しない場合、悪用される可能性がある。

 

解決方法

最新バージョンをインストールし、さらに手動で設定を行う(下記のステップを参照)。

  • Drupal 7.x 用の Bootstrap ベーステーマを使用している場合は Bootstrap 7.x-3.22 にアップデートする。
  • Drupal 8.x 用の Bootstrap ベーステーマを使用している場合は Bootstrap 8.x-3.14 にアップデートする。

 

追加情報:

Drupal.org 上にある Bootstrap テーマにおける脆弱性の解消は、外部フレームワークの JavaScript コードを分岐(フォーク)した、その部分から生じた副産物。その外部フレームワークの脆弱性は最初、公開イシューとして報告され、その後、その対策がそのフレームワークにマージされた。しかし、その外部フレームワークの公式リリースはまだ公開されていない。

このテーマのユーザーは、さらに以下のステップを行うこと:

  1. 使用しているサブテーマの外部フレームワーク ソースをアップグレードする必要がある場合、この外部フレームワークの問題に関する今後の情報に引き続き注意する。 公式リリースが公開されるまで、一時ブランチ master-xmr-v3-fixes から配布されたファイルを使うことを検討してみる手もある。
  2. 脆弱性のある外部フレームワーク コードからコピーした可能性のあるカスタム コードを再チェックする。

 Bootstrap プロジェクト ページも参照。