オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Acquia Connector 7.x, 8.x、Public Download Count、Login Alert

Drupal セキュリティー チームからの連絡です(日本時間 2019/02/07(木)03:44 AM~)

今週は拡張モジュールが 3 つです。普及率の高い Acquia Connector だけを訳しました。 他のモジュールについては原文をご覧ください。

モジュール(重大性スコア)使用サイト数


Acquia Connector

オンラインの原文: Acquia Connector - Moderately critical - Access bypass - SA-CONTRIB-2019-014


概要

Acquia Connector モジュールは分析用に特定の遠隔測定データを Acquia に送信するのに役立つ。このモジュールはサポートのコミュニケーションおよび問題解決を迅速に行うため、サイト情報の収集を自動化する。Acquia Insight サービスを利用するには、このモジュールが必要。

このモジュールは、ある特定のケースにおいてアクセス コントロールを適切に行わないため、情報の露見につながる可能性がある。

(情報が露見するには)このモジュールの diff 機能が有効化されている必要があるため、この脆弱性は軽減される。(ただし)この機能はデフォルトで有効化されている。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Acquia Connector モジュールを使用している場合は Acquia Connector 7.x-3.4 にアップデートする。
  • Drupal 8.x 用の Acquia Connector モジュールを使用している場合は Acquia Connector 8.x-1.16 にアップデートする。

「Acquia Subscription」設定(Drupal 7)または「Acquia Connector」設定(Drupal 8 )にある「Allow collection and examination of the following items」内の「Source code」を無効にすれば、この脆弱性を軽減することが可能。この設定ページの場所は Administration → Configuration → System。

この設定は、Drupal 7 の場合、変数 acquia_spi_module_diff_dataFALSE にすることによっても無効にできる。Drush を使う場合は以下のとおり: drush vset acquia_spi_module_diff_data FALSE Drupal 8 の場合、acquia_connector.settings 設定内の spi.module_diff_data key0 にすることで無効化できる。Drush を使う場合は以下のとおり: drush config-set acquia_connector.settings spi.module_diff_data 0

Acquia Connector プロジェクト ページも参照。