オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal コア 8.x、ImageCache Actions 7.x、Meta tags quick 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/07/18(木)01:30 AM~)

今週は Drupal 8 コアが 1 件と Drupal 7 用の拡張モジュール 2 件です。

モジュール(重大性スコア)使用サイト数



Drupal コア 8.x

オンラインの原文: Drupal core - Critical - Access bypass - SA-CORE-2019-008


概要

Drupal 8.7.4 コアの試験的モジュール「Workspaces」を有効(オン)にすると、アクセスバイパスの可能性が生じる。

この問題は Workspaces モジュールを無効化することで軽減できる。また、Drupal 8.7.4 以外のバージョンには影響しない。すなわち、Drupal 8.7.3 以前、Drupal 8.6.x 以前および Drupal 7.x への影響はない


解決方法

最新バージョンをインストールする。

  • Drupal 8.7.4 を使用している場合は Drupal 8.7.5 にアップデートする。

要注意:手動操作が必要。Workspaces モジュールが有効化されているサイトでは、必要とされるキャッシュ クリアを確実に行うため、update.php を走らせること。リバース プロキシ キャッシュまたは CDN(コンテンツ デリバリー ネットワーク。Varnish、CloudFlare など)を利用している場合はそれらもクリアすることを推奨する。



ImageCache Actions 7.x

オンラインの原文: ImageCache Actions - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-056


概要

ImageCache Actions モジュールを使うと、画像スタイルを作成するのに使える多数の画像エフェクトを定義できる。そのサブ モジュール「Image styles admin」は、画像スタイルの複製、書き出し(エクスポート)、読み込み(インポート)を行う機能を追加してくれる。このモジュールは画像スタイルを他のサイトに読み込むために unserialize() を使用しているが、この unserialize() は安全でない可能性のある入力値を処理する際、セキュリティー上の問題があることがわかっている。

事実として、この脆弱性が悪用されるには「Image styles admin」サブ モジュールが有効化され、攻撃者は「administer image styles(画像スタイルを管理)」の権限がある役割(ロール)を持っていなくてはならない。このため、この脆弱性は軽減される。

また、この読み込み機能は画像スタイルの一部として画像エフェクトに含まれている PHP コードに対応しているが、そのコードはこの PHP モジュールが有効化されている場合にのみ画像派生ファイルの生成時に実行される。これは「Image styles admin」サブ モジュール用の意図的な動作だが、ユーザー アクセスには関連のある潜在的なリスクを反映した制限をかけるべき。

今回、このモジュールの新しいセキュリティー リリースでは「import image styles(画像スタイルのインポート)」という新しい権限が追加されたが、それは「制限付き(restricted)」になっている。「画像スタイルのインポート」機能を使用する場合、ユーザーは、制限付きではない「administer image styles(画像スタイルを管理)」に加えて、この新しい権限のある役割(ロール)を持っている必要がある。


解決方法

最新バージョンをインストールする。

  • Drupal 7 用の ImageCache Actions モジュールを使用している場合は Imagecache Actions 7.x-1.10 にアップデートする。

Drupal 8 用の後継モジュールであるImage Effects には、この脆弱性はない。


Meta tags quick 7.x

オンラインの原文: Meta tags quick - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-057


概要

Meta tags quick は、HTML ソースのヘッド セクションにあるメタ タグを Drupal 7 のフィールドとして管理するためのモジュール。

このモジュールの管理画面では、同じページ上に表示されるブロックの出力に対するサニタイズ処理が不十分。このため、攻撃者はブロックのマークアップ内に悪意のある JavaScript コードを注入できてしまう。

事実として、攻撃者は「administer blocks(ブロックを管理)」の権限がある役割(ロール)を持っていなくてはならないので、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Meta tags quick モジュールを使用している場合は Meta tags quick 7.x-2.10 にアップデートする。