オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 8 Core、Link、Metatag、Paragraphs、Font Awesame Icons、RESTful Web Services、JSON:API、Video、Translation Management Tool

Drupal セキュリティー チームからの連絡です(日本時間 2019/02/21(木)05:01 AM~)

今回は Drupal 8 コアと Drupal 7、8 用の拡張モジュール 8 つに関する情報です。すべて訳しました。

モジュール(重大性スコア)使用サイト数

 


Drupal 8 Core 極めて重大 - 遠隔コード実行 - SA-CORE-2019-003

オンラインの原文: Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003

 

概要

 

フィールド タイプのなかにはフォーム以外のソースからのデータを適切にサニタイズ(無害化)処理しないものがある。そのため、場合によっては任意の PHP コード実行につながる可能性がある。

以下の条件のうち 1 つが当てはまるサイトのみ(この脆弱性の)影響を受ける:

  • サイトにおいて Drupal 8 コアの RESTful Web Services (rest) モジュールが有効になっていて、PATCH または POST リクエストが許可されている場合、あるいは
  • サイトにおいて他の Web サービス モジュール(たとえば Drupal 8 の JSON:API、Drupal 7 の ServicesRESTful Web Services など)が有効になっている場合。

(注:Drupal 7 の Services モジュール自体は今回、アップデートする必要はないが、Services を使用している場合は、この勧告に関連した他の貢献モジュールのアップデートは行うべき)

解決方法

 

8.5.x よりも前の Drupal 8 バージョンは EOL(サポート終了)であり、セキュリティ サポートは提供されない。

脆弱性をすぐに緩和するには、すべての Web サービス モジュールを無効化する、または Web サービス リソースへの PUT/PATCH/POST リクエストを許可しないよう、Web サーバーを設定すればよい。ただし、該当するサーバーの構成・設定によっては、その Web サービス リソースは複数の経路で利用可能になっている場合もあることに注意。たとえば、Drupal 7 でよくあるのは、リソースがパス(クリーン URL)経由および "q" クエリー引数への引数経由で利用可能である場合。Drupal 8 の場合も index.php/ でプリフィックスされていればパスは機能する可能性がある。


Link

オンラインの原文: Link - Critical - Remote Code Execution - SA-CONTRIB-2019-020

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Link モジュールを使用している場合は Link 7.x-1.6 にアップデートする。

 


Metatag

オンラインの原文: Metatag - Critical - Remote code execution - SA-CONTRIB-2019-021

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。

  • Drupal 8 用の Metatag を使用している場合は Metatag 8.x-1.8 にアップデートする。

 


Paragraphs

オンラインの原文: Paragraphs - Critical - Remote Code Execution - SA-CONTRIB-2019-023

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

  • Drupal 8.x 用の Paragraphs モジュールを使用している場合は Paragraphs 8.x-1.6 にアップデートする。

 


Font Awesome Icons

オンラインの原文: Font Awesome Icons - Critical - Remote Code Execution - SA-CONTRIB-2019-025

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Font Awesome Icons モジュールを使用している場合は Font Awesome Icons 8.x-2.12 にアップデートする。

 


RESTful Web Services

オンラインの原文: RESTful Web Services - Critical - Access bypass - SA-CONTRIB-2019-018

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。

 


JSON:API

オンラインの原文: JSON:API - Highly critical - Remote code execution - SA-CONTRIB-2019-019

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

  • Drupal 8.x 用 JSON:API モジュールのバージョン 2.x を使用している場合は JSON:API 8.x-2.3 にアップデートする。
  • Drupal 8.x 用 JSON:API モジュールのバージョン 1.x を使用している場合は JSON:API 8.x-1.25 にアップデートする。

 


Video

オンラインの原文: Video - Critical - Remote Code Execution - SA-CONTRIB-2019-022

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Video モジュールを使用している場合は Video 8.x-1.4 にアップデートする。

 


Translation Management Tool

オンラインの原文: Translation Management Tool - Critical - Remote Code Execution - SA-CONTRIB-2019-024

 

概要

 

SA-CORE-2019-003 に記載された脆弱性が、このモジュールにも関連している。すべての構成(すべてのサイト)が影響を受けるわけではない。詳細は SA-CORE-2019-003 を参照。

解決方法

最新バージョンをインストールする。