オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal Core 7.x、8.5.x、8.6.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/01/17(木)03:45 AM~)

今週は Drupal コアが 2 件で、どちらも D7.x、8.5.x、8.6.x が該当しています。ご注意ください。

モジュール(重大性スコア)



Drupal コア

オンラインの原文: Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001

  • プロジェクト:Drupal core
  • バージョン:7.x、8.5.x、8.6.x(原文にはバージョン番号の記載なし)
  • 月日: 2019 年 01 月 16 日
  • セキュリティー リスク:16/25 (重大)
    AC:Complex/A:User/CI:All/II:All/E:Proof/TD:Uncommon
  • 脆弱性:サードパーティー ライブラリ

概要

Drupal コアはサードパーティーの PEAR Archive_Tar ライブラリを使用している。このライブラリのセキュリティ アップデートがリリースされた。Drupal のコンフィギュレーションによっては、この影響を受ける。詳細は CVE-2018-1000888 を参照。

解決方法

最新バージョンをインストールする。

  • Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
  • Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
  • Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。

8.5.x よりも前の Drupal 8.x バージョンは EOL(開発・サポート終了)のため、セキュリティー サポートは提供されない。



Drupal コア

オンラインの原文: Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002


概要

信頼されていない phar:// URI 上でファイル操作が行われた場合、PHP に組み込まれている phar ストリーム ラッパー内で遠隔コード実行が可能になる脆弱性がある。

Drupal(コア、貢献およびカスタム モジュール)のコードによっては、十分に認証されていないユーザーの入力に対してファイル操作を行い、この脆弱(ぜいじゃく)性にさらされる可能性がある。

事実として、こうしたコード パスでは通常、管理権限または特殊な設定に対するアクセスが必要になるため、この脆弱(ぜいじゃく)性は軽減される。


解決方法

  • Drupal 8.6.x を使用している場合は Drupal 8.6.6 にアップデートする。
  • Drupal 8.5.x を使用している場合は Drupal 8.5.9 にアップデートする。
  • Drupal 7.x を使用している場合は Drupal 7.62 にアップデートする。

8.5.x よりも前の Drupal 8.x バージョンは EOL(開発・サポート終了)のため、セキュリティー サポートは提供されない。


.phar を危険拡張子リストに追加

.phar は Drupal の「危険な拡張子のリスト」(dangerous extensions list)に追加された。これは、こうしたファイルが Drupal のファイル フィールドにアップロードされた場合、自動的にテキスト ファイル(拡張子「.txt」)に変換されることを意味する。これによってコードの実行が防がれる。これは拡張子「.php」のファイルがアップロードされた場合に Drupal が対処する方法と同様。

5.3.2 以前の PHP 上で動く Drupal 7 サイトではphar:// ストリーム ラッパーをデフォルトで無効化

置換用のストリーム ラッパーは 5.3.3 よりも古い PHP バージョンとの互換性がない。このため、Drupal 7 の場合、それらの古いバージョンを使っているサイトではストリーム ラッパーが置換されることなく「オフ」にされる(Drupal 8 では、それらより新しい PHP バージョンが必要)。PHP 5.2 または 5.3.0~5.3.2 を使っている Drupal 7 サイトで phar サポートが必要な場合は、ストリーム ラッパーを「オン」に(再有効化)する必要がある。ただし、そうすると、それらの PHP バージョンの脆弱性も「再有効化」されることになるため、注意が必要。

5.3.3 よりも古いバージョンの PHP を使っていて phar サポートが必要という状況はめったにない。もし、そういう状況にある場合、セキュアでない phar サポートを修復するよりも PHP をアップグレードする方を検討するよう、お勧めする。