オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Views 7.x、Video 7.x、Simple hierarchical select 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/03/14(木)02:40 AM~)

今回は拡張モジュールが 3 つですが、Views 7.x が 3 件あるため、全体としては 5 件あることにご注意ください。すべての記事を訳しました。

モジュール(重大性スコア)使用サイト数



Views

オンラインの原文: Views - Moderately critical - Information Disclosure - SA-CONTRIB-2019-034


概要

Views モジュールを利用すると、カスタマイズしたデータ一覧を作成できる。

このモジュールでは引数定義が失敗した場合の保護が不十分。

事実として(該当する)view にはフィールド検証機能(field validator)としてカスタム PHP コードが使用されていなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Views モジュールを使用している場合は Views 7.x-3.21 にアップデートする。

Views プロジェクト ページも参照。

Views

オンラインの原文: Views - Moderately critical - Information disclosure - SA-CONTRIB-2019-035


概要

Views モジュールを利用すると、カスタマイズしたデータ一覧を作成できる。

このモジュールは、外部設置フィルター(exposed filter)で使用するとクエリの生成が適切に機能しないことがある。このため、特定のまれな状況において情報露見の脆弱性につながる可能性がある。

事実として(情報露見が起こるには)複数のエンティティ タイプに使われているフィールドに対する外部設置フィルターが view に備わり、その view にそれらのエンティティ タイプが含まれていなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Views モジュールを使用している場合は Views 7.x-3.21 にアップデートする。

Views プロジェクト ページも参照。

Views

オンラインの原文: Views - Less critical - Cross site scripting - SA-CONTRIB-2019-036


概要

Views モジュールを利用すると、カスタマイズしたデータ一覧を作成できる。

このモジュールでは特定のフィールド タイプに対するサニタイズ処理が不十分。このため、クロスサイト スクリプティング(XSS)の脆弱性につながる可能性がある。

事実として、view に「全てのデータ(シリアライズ済)」(Full data (serialized))形式のフィールドが表示され、攻撃者はそのフィールドに悪意のあるマークアップ データを保持できなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Views モジュールを使用している場合は Views 7.x-3.21 にアップデートする。

Views プロジェクト ページも参照。


Video

オンラインの原文: Video - Critical - Remote Code Execution - SA-CONTRIB-2019-037

  • プロジェクト:Video
  • バージョン:7.x(原文にはバージョン番号の記載なし)
  • Drupal 8 用のバージョンには、この脆弱性の影響はないことに注意
  • 月日: 2019 年 03 月 13 日
  • セキュリティー リスク:19/25 (重大)
    AC:None/A:Admin/CI:All/II:All/E:Theoretical/TD:All
  • 脆弱性:遠隔コード実行

概要

Video モジュールを利用すると、編集者は動画用のフィールドを加えてコンテンツに動画を入れることができる。また、その動画を異なるサイズやフォーマットにトランスコード(直接、再エンコード)する機能も備わっている。

このモジュールでは、管理フォーム上のユーザー入力に対するサニタイズ処理が不十分。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Video モジュールを使用している場合は Video 7.x-2.14 にアップデートする。

Video プロジェクト ページも参照。


Simple hierarchical select

オンラインの原文: Simple hierarchical select - Moderately critical - Cross site request forgery - SA-CONTRIB-2019-038


概要

Simple hierarchical select モジュールを利用すると、タクソノミー フィールド用の新しいフォーム ウィジェットを定義し、ボキャブラリー階層を「ブラウジング」してタームを選択できるようになる。また、ユーザーがノード フォーム内でウィジェットを使って直接、新しいタクソノミー タームを作成することもできる。

このモジュールのバージョン 7.x では、新しいタームを作成する際、権限に対するチェックが不十分なため、攻撃者は、標的となる他のユーザーがアクセスできるあらゆるボキャブラリー内に任意のタクソノミー タームを作成できる。

事実として、攻撃者は自分がコントロールできる専用のページを用意し、タームを作成する権限のあるユーザーをそこに誘導しなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • バージョン 7.7-1.7 よりも前の Simple hierarchical select モジュールを使用している場合は Simple hierarchical select 7.x-1.8 にアップデートする。
  • アップデートできない場合は、単にウィジェット設定画面で「新規タームの設定を許可」(allow creating new terms)オプションを無効化すればよい。