オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:各種サードパーティ脆弱性(サービス勧告)

Drupal セキュリティ チームからの連絡です(日本時間 2019/09/05(木)03:26 AM)

今週は Drupal 自体というよりは PHPUnit の脆弱(ぜいじゃく)性(CVE-2017-9841)に関するもので、その他のサードパーティ ライブラリに関しても Drupal.org 自体はアナウンスしないから確認しなさいという話です。

サービス勧告原文へのリンク



各種サードパーティ脆弱性 - PSA-2019-09-04

  • 月日: 2019 年 09 月 04 日
  • 脆弱性:各種サードパーティ コードの脆弱性

概要

2011 年 6 月、Drupal セキュリティ チームは一般向けサービス勧告 PSA-2011-002 - External libraries and plugins(外部ライブラリおよびプラグイン) を発表した。

それから 8 年たった現在も Drupal セキュリティ チームの方針は変わっていない。Drupal コアとモジュールはサードパーティのコードをより多く使用するようになってきている。このため、サイト所有者はサードパーティ ライブラリのセキュリティに注意し続ける責任があるということをこの機会に喚起したい。以下は 2011 年の勧告(の抜粋)だが、これは当時以上に現在も重要。

「常に注意深く告知を読んで Drupal.org からダウンロードした貢献モジュールをアップデートする必要がある。それと同じように、そうしたモジュールに必要なサードパーティ ライブラリやプラグインのベンダーからの告知にも従う必要がある。

Drupal の Update モジュールにはそれらの告知への警告を出す機能はない。また、Drupal セキュリティ チームが外部ライブラリおよびプラグインのセキュリティ問題に関する告知を出すこともない」


現在の PHPUnit/Mailchimp ライブラリへの攻撃

いくつかの Drupal サイトである脆弱性を突いた攻撃があったことが最近わかった。その脆弱性は PHPUnit にあり、CVE-2017-9841 として登録されている。攻撃ターゲットとなるのは現在または過去に Mailchimp または Mailchimp E-Commerce モジュールを使っていた Drupal サイトで、以下のファイルにまだ脆弱性があるものを使用している場合:

sites/all/libraries/mailchimp/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

ファイルに脆弱性があるかどうかは以下の説明を参照。サイトによっては該当するファイルが異なるパスにある可能性もあるが、自動的に行われる攻撃は、そのパスを探す。この攻撃はサーバー上で PHP を実行できる。

解決方法

外部ライブラリおよびプラグインのベンダーからの告知に従う。

今回の PHPUnit の場合に関しては、「eval-stdin.php」というファイルがあるか確認し、ある場合はその内容をチェックする。その内容がこのコミットにある新しいバージョンと一致する場合は安全。しかし、そのファイルが php://input から読み取る場合は脆弱性がある。もっとも、このファイルが存在すること自体は、そのサイトが攻撃されたことではなく、単に脆弱性があることを示しているに過ぎない。この脆弱性を解消するには、ライブラリをアップデートすること。特に Mailchimp および Mailchimp E-Commerce モジュールと、それらのライブラリがすべてきちんとアップデートされた状態にするべき。

自分のサイトがすでに攻撃を受けていることがわかった場合、攻撃された場合の対処方法ガイド(英語)を参照。