オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Nodeaccess、Panels Breadcrumbs、Webform Table Element、Anti Spam by CleanTalk、Expand collapse formatter、Preview Link、Image Annotator [Annotorious]、Gridstack field

Drupal セキュリティー チームからの連絡です(日本時間 2019/01/24(木)04:19 AM~)

今週は拡張モジュールが 8 つで、そのうち 6 つがサポート対象外になっています。普及率の高い 2 つだけ記事を訳しました。他のモジュールについては原文をご覧ください。

モジュール(重大性スコア)使用サイト数

(セキュリティー チームはサポート対象外となったすべてのプロジェクトの重大性を既定値(デフォルト)として「重大」と判定)


Nodeaccess

オンラインの原文: Nodeaccess - Critical - Unsupported - SA-CONTRIB-2019-009

  • プロジェクト:Nodeaccess
  • バージョン:(原文にバージョン番号の記載なし)
  • 月日: 2019 年 01 月 23 日
  • セキュリティー リスク:15/25 (重大)
    AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All
  • 脆弱(ぜいじゃく)性:サポート対象外

概要

セキュリティー チームは、このモジュールをサポート対象外に指定する。このモジュールには既知のセキュリティー問題があり、それがメンテナーによって解決されていない。このモジュールのメンテナンスをしたい場合は次のリンクを参照:https://www.drupal.org/node/251466

解決方法

このモジュールを使用している場合はアンインストールするべき。


Panels Breadcrumbs

オンラインの原文: Panels Breadcrumbs - Moderately critical - Cross site scripting - SA-CONTRIB-2019-007


概要

Panels Breadcrumbs モジュールを利用すると、Panels の設定画面から直接、パンくずリストを設定できる。

このモジュールでは、カスタムのパンくずリストの設定に対するサニタイズ処理が不十分なことがある。このため、クロスサイト スクリプティングの脆弱(ぜいじゃく)性につながる可能性がある。

事実として、攻撃者にはパンくずリストの設定またはパンくずリストの設定に使われるトークン値を編集する権限がなくてはならないため、この脆弱性は軽減される。


解決方法

  • Panels Breadcrumbs 7.x-2.3 またはそれより前のバージョンを使用している場合は 7.x-2.4 以降のバージョン にアップデートする。