オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Workbench Moderation - 重大性 中程度 - 情報露見

Drupal セキュリティーチームからの連絡です(日本時間 2016/11/03(木)5:54 AM)

以下、主な項目のみを翻訳、掲載。[] 内の数字は本記事最後の URL リストを参照。

オンラインの原文: https://www.drupal.org/node/2824455

   * 勧告 ID: DRUPAL-SA-CONTRIB-2016-060
   * プロジェクト: Workbench Moderation [1](サードパーティー モジュール)
   * バージョン: 7.x
   * 月日: 2016 年 11 月 02 日
   * セキュリティーリスク: 11/25 (重大性中程度)
     Basic/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon [2]
   * 脆弱性:情報露見

概要
------------------------------------------------------------
このモジュールを使うと、サイトのコンテンツに関連した編集(承認)ワークフローをカスタマイズ作成し、管理することができる。
このモジュールでは、たとえば「draft(ドラフト、草稿)」から「needs work(修正が必要)」へと編集ステータスが変更された場合など、Views が生成するようなコンテンツリストを通じて非掲載コンテンツが一時的に表示されてしまうことがあり得る。
コンテンツリストはユーザーがノードを保存するときに生成し直されなくてはならないため、この脆弱性は軽減される。

CVE 識別名(CVE identifier)
------------------------------------------------------------
   * CVE 識別名 [3] が申請され、Drupal セキュリティー チームの手順に従うかたちで、発行に伴って追加される予定。

この影響を受けるバージョン
------------------------------------------------------------
   * Workbench Moderation 7.x-1.x バージョンおよび 7.x-3.0 よりも前の 7.x-3.x バージョン(訳注:3.0 よりも前の 3.x があるということ)

Drupal コアには影響なし。拡張(貢献)モジュール「Workbench Moderation」 [4] を使用していない場合、何もする必要なし。

解決方法
------------------------------------------------------------
最新バージョンをインストールする。

   * Drupal 7 用の Workbench Moderation を使用している場合は Workbench Moderation 7.x-3.0 [5] にアップグレードする。

Workbench Moderation プロジェクト ページ [6] も参照。

コンタクトおよび詳細情報
------------------------------------------------------------
Drupal セキュリティー チームには security アットマーク drupal.org またはコンタクト フォーム [7] 経由でコンタクトをとれる。

[1] https://www.drupal.org/project/workbench_moderation
[2] https://www.drupal.org/security-team/risk-levels
[3] http://cve.mitre.org/
[4] https://www.drupal.org/project/workbench_moderation
[5] https://www.drupal.org/project/workbench_moderation/releases/7.x-3.0
[6] https://www.drupal.org/project/workbench_moderation
[7] https://www.drupal.org/contact