オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:SA-CORE-2019-003 リスク増大と新たな攻撃経路に関する告知

Drupal セキュリティー チームから先日のセキュリティー アップデートに関する追加情報が入りました(日本時間 2019/02/23(土)10:24 AM)

オンラインの原文: SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22

概要

この一般向けサービス告知は SA-CORE-2019-003 の補足記事であり、新たな脆弱(ぜいじゃく)性を告知するものでは_ない_。SA-CORE-2019-003 に記載されたようにサイトをアップデートしていない場合は即刻アップデートするべき。

この SA(SA-CORE-2019-003)の悪用例が公に見つかっている。

これまでにわかっているかぎり、今回(の脆弱性)は大規模に悪用されてはいない。

上記 SA 原文では Web サービス リソースへの PUT、PATCH、POST リクエストをブロックすることでこの脆弱性を緩和できるはずだとしていたが、GET リクエストを使って悪用する方法も出てきた。

最善の緩和策は次のとおり:

(この脆弱性の)影響を受けるのは、以下の条件のいずれか 1 つが当てはまる場合のみ:

  • Drupal 8 コアの RESTful Web Services (rest) モジュールが有効になっている場合、または
  • 他の Web サービス モジュール(たとえば Drupal 8 の JSON:API、Drupal 7 の ServicesRESTful Web Services など)が有効になっている場合、あるいは
  • 非フォーム ソース経由でエンティティを更新できるカスタム コードがある場合

サイトが乗っ取られた可能性がある場合は?

ドキュメンテーション コーナーにある「Your Drupal site got hacked. Now what?(Drupal サイトがハックされた。さあ、どうする?)」を参照。

新しいタイプの悪用方法が判明したら、元の SA 記事を引き続き更新する予定。