オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 7&8 コア、AddToAny Share Buttons 7.x、Back To Top 7.x、RESTful 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/03/21(木)02:05 AM~)

今週は Drupal 7 と 8 のコアと拡張モジュール 3 つ。コアの重大性は中程度です。拡張モジュールの方は普及度の高い 2 つだけを訳しました。

モジュール(重大性スコア)使用サイト数



Drupal Core

オンラインの原文: Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004


概要

File モジュール(コア構成要素)は、特定の状況において、攻撃者が悪意のあるファイルをアップロードするのを許してしまう。このため、クロスサイト スクリプティングの脆弱性につながる可能性がある。

解決方法

最新バージョンをインストールする。

  • Drupal 8.6 を使用している場合は Drupal 8.6.13 にアップデートする。
  • Drupal 8.5 またはそれよりも前のバージョンを使用している場合は Drupal 8.5.14 にアップデートする。
  • Drupal 7.x を使用している場合は Drupal 7.65 にアップデートする。

Drupal 8.5.x よりも前の Drupal 8 バージョンはサポートが終了しているため、それらに対するセキュリティー対応バージョンは提供されない。



AddToAny Share Buttons

オンラインの原文: AddToAny Share Buttons - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-039


概要

AddToAny Share Buttons モジュールを利用すると、自分のサイト上のコンテンツやページに SNS のシェア ボタンを付けられる。

このモジュールでは、それ自体の管理権限に対する制限のチェックが不十分。このため、特定のまれな状況において情報露見の脆弱性につながる可能性がある。

事実として、攻撃者は「administer addtoany」(addtoanyを管理)の権限がある役割(ロール)を持っていなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。



Back To Top

オンラインの原文: Back To Top - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-040


概要

Back To Top モジュールを利用すると、jQuery を使って Web ページの先頭までスクロールするためのボタンをブラウザー ウィンドウ内の右下隅に付けることができる。

このモジュールでは、ページに表示されるコードに対するサニタイズ処理が不十分。このため、クロスサイト スクリプティング(XSS)の脆弱性につながる可能性がある。

事実として、攻撃者は「access backtotop settings」(backtotop 設定にアクセス)の権限がある役割(ロール)を持っていなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Back To Top モジュールを使用している場合は Back To Top 7.x-1.6 にアップデートする。