オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Localization update 7.x、Ubercart 7.x、Simple AMP

Drupal セキュリティ チームからの連絡です(日本時間 2019/10/03(木)02:44 AM~)

今週は拡張モジュールが 3 つです。普及度が高い 2 つの記事を訳しました。

モジュール(重大性スコア)使用サイト数



Localization update

オンラインの原文: Localization update - Moderately critical - Insecure server configuration - SA-CONTRIB-2019-072


概要

Localization update モジュールを利用すると、サイトのインターフェースの翻訳を localize.drupal.org または他のローカリゼーション サーバーから自動的にダウンロードして更新できる。

このモジュールでは、翻訳ファイルを保存するディレクトリに対する保護が不十分。書き込み可能なディレクトリは、悪意のある PHP ファイルが置かれて Web サーバーに実行されてしまうのを防ぐため、.htaccess ファイルで保護するのが一般的。

事実として、大抵の場合は攻撃者がこのモジュールの保存ディレクトリ内に悪意のあるファイルを置くことはできないので、この問題は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x-1.x 用の Localization update モジュールを使用している場合は Localization update 7.x-1.2 にアップデートする。
  • Drupal 7.x-2.x 用の Localization update モジュールを使用している場合は Localization update 7.x-2.3 にアップデートする。

Localization update プロジェクト ページも参照。


Ubercart

オンラインの原文: Ubercart - Moderately critical - Cross site scripting - SA-CONTRIB-2019-070


概要

Ubercart モジュールを利用すると、Drupal サイトにショッピング カートと e コマース(電子商取引)の機能を装備できる。

発注 (uc_order) モジュールでは、請求書(invoice)上でのユーザー入力に対するサニタイズ処理が不十分。このため、クロスサイト スクリプティング(XSS)の脆弱性につながる。

事実として、この脆弱性を悪用するには「edit orders(注文を編集)」の権限がある役割(ロール)を持っている必要があるため、この問題は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Ubercart モジュールを使用している場合は Ubercart 7.x-3.13 にアップデートする。

Ubercart プロジェクト ページも参照。