オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:JSON:API 8.x、E-Sign 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/12/20(木)03:24 AM~)

今週は拡張モジュールが 2 つです。ある程度普及している JSON:API の記事だけ訳しました。 E-Sign 7.x の方は必要に応じて原文をご覧ください。

テーマおよびモジュール(重大性スコア)使用サイト数



JSON:API

オンラインの原文: JSON:API - Moderately critical - Access bypass - SA-CONTRIB-2018-081

  • プロジェクト:JSON:API
  • バージョン:8.x(8.x しかないため原文にはバージョン記載なし)
  • 月日: 2018 年 12 月 19 日
  • セキュリティー リスク:13/25 (重大性 中程度)
    AC:Basic/A:None/CI:Some/II:None/E:Theoretical/TD:All
  • 脆弱性:アクセス バイパス

概要

JSON:API モジュールを利用すると、JSON:API 仕様に準拠した HTTP API を使って Drupal のコンテンツにアクセス、操作し、エンティティを設定できる。

このモジュールでは、フィルターをかけた特定のコレクション リクエストに応答する場合、アクセスに対するチェックが不十分なため、アクセス バイパスの脆弱性につながる。

この問題を解決するため、次の新しいフックが追加された:
hook_jsonapi_ENTITY_TYPE_filter_access()
hook_jsonapi_entity_field_filter_access()

カスタム エンティティ タイプを使用しているサイトと、エンティティ アクセスかフィールド アクセスのいずれかをカスタマイズしているサイトでは、この新しいフックを実装する必要があるかもしれない(原文「may need to implement」)


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の JSON:API モジュール 8.x-1.x を使用している場合は JSON API 8.x-1.24 にアップデートする。

 JSON:API プロジェクト ページも参照。