オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:EU Cookie Compliance 7.x & 8.x、Ubercart 7.x、Drupal voor Gemeenten 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/03/07(木)04:05 AM~)

今週は拡張モジュールが 3 つです。普及度の高い 2 つの記事を訳しました。

モジュール(重大性スコア)使用サイト数



EU Cookie Compliance

オンラインの原文: EU Cookie Compliance - Critical - Cross site scripting - SA-CONTRIB-2019-033


概要

EU Cookie Compliance モジュールは、2018 年 5 月 25 日に施行された「EU 一般データ保護規則」(General Data Protection Regulation:GDPR)と、2012 年からある「プライバシーおよび電子通信に関する EU 規則」(EU Directive on Privacy and Electronic Communications)に対応するためのもの。バナーを表示し、Web サイトがユーザーのコンピューター上にクッキーを保存する場合、またはその他のかたちでユーザーの個人情報を扱う場合にユーザーの同意を求めることができる。

このモジュールでは、クッキー ポリシー バナー内にあるインターフェイスのレーベルや文字列用のデータに対するサニタイズ処理が不十分。このため、このモジュールの管理インターフェイスにアクセスできる者がクロスサイト スクリプティング(XSS)攻撃を行える可能性がある。

事実として、攻撃者には「Administer EU Cookie Compliance banner(EU クッキー準拠バナーを管理)」の権限がなくてはならないので、この脆弱性は軽減される。Drupal 8 の場合はそれに加えて、攻撃者はデータがサニタイズされないテキスト フォーマットにもアクセスできる必要がある。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の EU Cookie Compliance モジュールを使用している場合は EU Cookie Compliance 7.x-1.26 にアップデートする。
  • Drupal 8.x 用の EU Cookie Compliance モジュールを使用している場合は EU Cookie Compliance 8.x-1.3 にアップデートする。

 EU Cookie Compliance プロジェクト ページも参照。


Ubercart

オンラインの原文: Ubercart - Moderately critical - Cross Site Request Forgery - SA-CONTRIB-2019-032

  • プロジェクト:Ubercart
  • バージョン:7.x(原文にはバージョン番号の記載なし)
  • 月日: 2019 年 03 月 06 日
  • セキュリティー リスク:12/25 (重大性 中程度)
    AC:None/A:Admin/CI:None/II:Some/E:Proof/TD:Default
  • 脆弱性:クロスサイト リクエスト フォージェリ(CSRF)

概要

Ubercart モジュールがあると、Drupal 上でショッピング カートと e コマース機能を利用できるようになる。

(Ubercart の構成要素である)Taxes モジュールでは、税率クローン機能に対する保護が不十分。このため、悪意のあるユーザーは、特別に仕組んだ URL へとストア管理者を誘導することで既存の税率を複製させるよう仕向けることが可能。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Ubercart モジュールを使用している場合は Ubercart 7.x-3.12 にアップデートする。