オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal Core 7.x、8.x、TableField 7.x、Stage File Proxy 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/04/18(木)01:44 AM~)

今週は Drupal 7.x、8.x のコアと D7 用の拡張モジュールが 2 つです。

モジュール(重大性スコア)使用サイト数



Drupal Core 7.x、8.x

オンラインの原文: Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-006


概要

jQuery プロジェクトはバージョン 3.4.0 をリリースしたが、それと同時に、それ以前のバージョンすべてに影響するセキュリティー脆弱性が修正されたことが公表された。以下は、プロジェクト チームが発表したリリース ノートからの引用:

jQuery 3.4.0 では、jQuery.extend(true, {}, ...) を使用する場合に意図しない振る舞い(behavior)があった問題が修正されている。サニタイズ処理されていないソース オブジェクトが enumerable __proto__ プロパティを含む場合、ネイティブな Object.prototype を拡張してしまう可能性があった。jQuery 3.4.0 では、これが修正されているが、以前の jQuery バージョンに対する差分パッチも存在している。

Drupal モジュールのなかには、この脆弱性の悪用につながるものがあり得る。このため、予防措置として、今回の Drupal セキュリティー リリースでは、その修正が jQuery.extend() に移植されている。Drupal コアに含まれていた jQuery バージョン(Drupal 8 は 3.2.1、Drupal 7 は 1.4.4)または「jQuery Update」など他のモジュールを通じてサイト上で動いていた jQuery バージョンには何の変更も加えていない。

解決方法

最新バージョンをインストールする。

  • Drupal 8.6 を使用している場合は Drupal 8.6.15 にアップデートする。
  • Drupal 8.5 以前のバージョンを使用している場合は Drupal 8.5.15 にアップデートする。
  • Drupal 7 を使用している場合は Drupal 7.66 にアップデートする。

Drupal 8.5.x よりも前のバージョンは EOL(サポート終了)になっているため、セキュリティー対策は提供されない。

Drupal プロジェクト ページも参照。



TableField

オンラインの原文: TableField - Critical - Remote Code Execution - SA-CONTRIB-2019-045


概要

TableField モジュールを利用すると、エンティティにテーブル(表)データを付けることができる。

このモジュールは、ユーザーが CSV エクスポートをリクエストしたとき、非シリアル化されるデータがテーブルフィールドのコンテンツであることを十分に検証しない。このため、オブジェクト インジェクション経由で遠隔コード実行につながる可能性がある。

事実として、攻撃者には「export tablefield(テーブルフィールドのエクスポート)」権限のある役割(ロール)が必要で、エンティティのフィールドにデータを挿入することも可能でなくてはならないため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の TableField モジュール 7.x-3.x を使用している場合は TableField 7.x-3.4 にアップデートする。


Stage File Proxy

オンラインの原文: Stage File Proxy - Less critical - Denial of Service - SA-CONTRIB-2019-044


概要

Stage File Proxy モジュールは、必要なときに本番環境のファイルを開発環境サーバー上に取ってくる一般的なソリューション。

このモジュールでは、リクエストされた URL に対する検証が不十分。このため、攻撃者は存在しないファイルを繰り返してリクエストできてしまう。これにより、Stage File Proxy がインストールされたサーバーのリソースを消耗させてしまう可能性がある。

事実として、攻撃者は反復的にリクエストを送らなくてはならいため、この脆弱性は軽減される。また、この脆弱性は Stage File Proxy がインストールされた環境にしか存在しない(このモジュールは一般的に本番環境にはインストールされない)。この問題は「Hot Link」オプションが無効になっているサイトにのみ影響する(デフォルト設定は無効)。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Stage File Proxy モジュールを使用している場合は Stage File Proxy 7.x-1.9 にアップデートする。

Stage File Proxy プロジェクト ページも参照。