オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Provision 7.x、Aegir HTTPS 7.x、Phone Field 7.x

p>Drupal セキュリティー チームからの連絡です(日本時間 2019/01/10(木)05:14 AM~)

今週は拡張モジュールが 3 つです。ダウンロード数の多い Provision の記事だけ訳しました。他のモジュールについては必要に応じて原文をご覧ください。

モジュール(重大性スコア)使用サイト数



Provision

オンラインの原文: Provision - Moderately critical - Access bypass - SA-CONTRIB-2019-002


概要

Provision モジュールは Aegir の中心的な構成要素。Aegir は Drupal、WordPress、CiviCRM のネットワーク全体のデプロイメント、管理、アップグレードを簡略化するために設計された Drupal ベースの GUI を備えた Web ホスティング コントロール パネル プログラム。

このモジュールでは、マルチサイト インストレーションまたは PHP ソース コードに対する保護が不十分。

事実として、以下の条件があるため、この脆弱(ぜいじゃく)性は軽減される。サーバーは Apache を使用している必要がある。マルチサイト インストレーションの場合、サーバーは 1 つの共有プラットフォーム上に複数のサイトをホストしていなくてはならない。それに加えて、攻撃者は使用されているファイル名とサーバーの知識を持っている必要がある。


解決方法

最新バージョンをインストールする。

  • Aegir ホスティング システムを使用している場合は provision 7.x-3.170 にアップデートする。

 Provision プロジェクト ページも参照。