オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Responsive Menus 7.x、Password Policy 7.x、Salesforce Suite 8.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/12/06(木)04:48 AM~)

今週は拡張モジュールが 3 つです。普及度が低い Salesforce Suite 8.x の記事は訳しませんでした。必要に応じて原文をご覧ください。

テーマおよびモジュール(重大性スコア)使用サイト数



Responsive Menus

オンラインの原文: Responsive Menus - Moderately critical - Cross site scripting - SA-CONTRIB-2018-079


概要

Responsive Menus モジュールを利用すると、モバイル デバイス上でサイトのメイン メニューを折りたたみ、メニュー切り替えボタンを表示させることができる。

このモジュールでは、ユーザーの設定に対するサニタイズ処理が不十分。そのため、クロスサイト スクリプティング(XSS)の脆弱性につながる。

事実として、攻撃者は「administer responsive menus(responsive meniu を管理)」の権限がある役割(ロール)を持っている必要があるため、この脆弱性は軽減される。



解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Responsive Menus モジュールを使用している場合は Responsive Menus 7.x-1.7 にアップデートする。


Password Policy

オンラインの原文: Password Policy - Less critical - Denial of Service - SA-CONTRIB-2018-077


概要

Password Policy モジュールを利用すると、特定のパスワードを却下することで、ユーザーのパスワードに制限をかけることができる。

このモジュールの「digit placement(数字の配置)」制限機能は、攻撃者が特別に仕組んだパスワードを入力した場合、サイトが応答しなくなる可能性がある。すなわち、DoS 攻撃に対する脆弱性がある。

事実として、「digit placement(数字の配置)」制限機能が有効にされている必要があるため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Password Policy モジュールを使用している場合は Password Policy 7.x-1.16 にアップデートする。