オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Services 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/04/04(木)02:52 AM~)

今回は Services という拡張モジュール 1 つだけです。

モジュール(重大性スコア)使用サイト数



Services

オンラインの原文: Services - Less critical - Access bypass - SA-CONTRIB-2019-043


概要

Services モジュールは、外部のクライアントが Drupal とやりとりできるよう、API 構築用の標準化されたソリューションになる。

このモジュールでは、"attach_file" リソースにアクセス バイパスの脆弱性がある。ファイル フィールドを含むノードを作成または更新できるユーザーはアクセスできないはずのファイルを勝手に参照できてしまうため、プライベートなファイルの漏えいにつながる可能性がある。

事実として、攻撃者にはノードを作成または編集する権限のある役割(ロール)がなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Services モジュールを使用している場合は Services 7.x-3.24 にアップデートする。

Services プロジェクト ページも参照。