オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Multiple Registration 8.x、Opigno Learning path、Opigno forum

Drupal セキュリティー チームからの連絡です(日本時間 2019/05/16(木)02:33 AM~)

今回は拡張モジュールが 3 つで、そのうち 2 つは Opigno LMS ディストリビューション用のモジュールです。すべて普及度が低いのですが、Opigno 関連モジュールの記事だけ訳しました。

モジュール(重大性スコア)使用サイト数



Opigno Learning path 8.x

オンラインの原文: Opigno Learning path - Moderately critical - Access bypass - SA-CONTRIB-2019-047


概要

特定の設定状況において、学習パス(learning path)がセミプライベート(semi-private)に設定されていると、本来は参加できないはずの学習パスに匿名ユーザーが参加できてしまう。

解決方法

最新バージョンをインストールする。

  • Drupal 8 用の Opigno learning path モジュールを使用している場合は Opigno learning path 8.x-1.4 にアップデートする。
  • Opigno LMS ディストリビューションを使用している場合は、ディストリビューション全体を最新の Opigno LMS 8.x-1.5 にアップデートする。

Opigno learning path プロジェクト ページも参照。



Opigno forum

オンラインの原文: Opigno forum - Less critical - Access bypass - SA-CONTRIB-2019-046


概要

付与情報ではなくノード アクセスに基づいてアクセス権がチェックされるため、特定の状況において、権限のないユーザーが特定のフォーラム情報を利用できてしまう。

事実として、このモジュール自体が情報を露見させてしまうわけではなく、サイト構築者/開発者がこれを考慮しなかったビューズなどのリストがある場合にのみ、露見の可能性があるため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Opigno forum モジュールを使用している場合は Opigno forum 8.x-1.2 にアップデートする。

Opigno forum プロジェクト ページも参照。