オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Universally Unique IDentifier 7.x、TableField 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/05/30(木)02:53 AM~)

今回は拡張モジュールが 2 つで、どちらも比較的、普及しています。

モジュール(重大性スコア)使用サイト数



Universally Unique IDentifier 7.x

オンラインの原文: Universally Unique IDentifier - Moderately critical - Access bypass - SA-CONTRIB-2019-052


概要

Universally Unique IDentifier モジュールは、Drupal オブジェクト、特にエンティティーに UUID(universally unique identifier。汎用一意識別子)を加えるための API を提供してくれる。

Services および REST server との組み合わせで使用した場合、このモジュールには特権(権限)エスカレーションの脆弱性がある。

事実として、攻撃者は該当するサイトの認証を受けており、Services モジュールが設定され、ユーザー更新のリソースが利用できなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

Universally Unique IDentifier プロジェクト ページも参照。



TableField 7.x

オンラインの原文: TableField - Moderately critical - Access bypass and Cross Site Scripting - SA-CONTRIB-2019-051

  • プロジェクト:TableField
  • バージョン:7.x(原文では 7.x-3.x-dev、7.x-2.x-dev)
  • 月日: 2019 年 05 月 29 日
  • セキュリティー リスク:13/25 (重大性 中程度)
    AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
  • 脆弱性:アクセス バイパスおよびクロスサイト スクリプティング

概要

TableField モジュールを使うと、エンティティーに表(テーブル)形式のデータを付けることができる。

アクセス バイパス

「Export Tablefield Data as CSV(テーブルフィールド データを CSV としてエクスポート)」機能においてユーザーに対するアクセス チェックがなく、非公開ノードまたはアクセスできないはずのエンティティーからのデータをエクスポートできてしまう。

事実として、攻撃者は「Export Tablefield Data as CSV」の権限がある役割(ロール)を持っていなくてはならないため、この脆弱性は軽減される。

XSS(クロスサイト スクリプティング)

フィールドの表示設定で「生のデータ(JSON または XML)」が使われた場合、レンダリングに渡す前の JSON 出力に対するサニタイズ処理が不十分(このため、クロスサイト スクリプティングの脆弱性につながる)

事実として、攻撃者は編集権限のある役割を持っていなくてはならないので、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • TableField モジュール 7.x-2.x を使用している場合は TableField 7.x-2.8 にアップデートする。
  • TableField モジュール 7.x-3.x を使用している場合は TableField 7.x-3.5 にアップデートする。

TableField プロジェクト ページも参照。