【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

2016-03-07

Critical

コア

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

2016年2月24日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　SA-CORE-2016-001
●プロジェクト：　Drupal core
●バージョン　：　6.x, 7.x, 8.x
●投稿日　　　：　2016/2/24
●セキュリティリスク：　Critical
●脆弱性　　　：　Multiple vulnerabilities

==概要==

【File upload access bypass and denial of service (File module - Drupal 7 and 8 - Moderately Critical)】
Fileモジュールに存在する脆弱性により、被害者がフォーム用にアップロードしたファイルについて、フォームが送信、処理されていない段階で、悪意あるユーザーがそのファイルへのリンクを閲覧、削除、置換できてしまっていました。攻撃者がこの攻撃を繰り返し実行すれば、未保存の一時ファイルを全て削除することで、サイトへのファイルアップロードを完全に阻止できてしまう可能性があります。
この脆弱性は、一連の過程において、攻撃者がコンテンツ作成、コメント作成、ファイルアップロードの許可を受けている必要があるという事実により、危険性が緩和されます。

【Brute force amplification attacks via XML-RPC (XML-RPC server - Drupal 6 and 7 - Moderately Critical)】
XML-RPCシステムは同一メソッドへの大量の呼び出しを一度に行うことができるが、この機能が、総当たり攻撃を助長するものとなっていました。 (例えば、ユーザーのパスワードを特定しようとする試みにおいて、パスワードの候補を一度に大量に送信するなど)
この脆弱性は、総当たり攻撃に対して脆弱性のあるXML-RPCメソッドを含むモジュールを、有効化していなければ被害を受けない点において、危険性が緩和されます。Drupal 7 coreにそうしたモジュールは存在しないが、Drupal 6 coreではBlog APIモジュールがその脆弱性を有し、問題となるメソッドに対してフラッド防止機構が用意されていれば、脆弱性の危険性はさらに緩和されます。

【Open redirect via path manipulation (Base system - Drupal 6, 7 and 8 - Moderately Critical)】
Drupal 6および7ではカレントパスに外部URLを挿入することが可能であった。これはオープンリダイレクト脆弱性につながります。
この脆弱性は、カスタムコードを組み合わせるか、404ページに表示される、特殊な偽装URLを持つフォームからユーザーが送信を行うかしない限り、発生しないという事実により危険性が緩和されます。
Drupal 8では、特定のリダイレクトパスを取り扱うにあたり、ブラウザーに存在している可能性のある欠陥について、防御力を高める効果があります。

【Form API ignores access restrictions on submit buttons (Form API - Drupal 6 - Critical)】
フォーム内に存在するものの、サーバーサイドのフォームの定義において#accessがFALSEに設定されているために、本来ならばユーザーがアクセスできないbutton要素から、例えばJavaScriptを使って、入力内容を送信できてしまうアクセスバイパス脆弱性が発見されました。
この脆弱性は、攻撃者が、そうしたボタンが定義されたフォーム (例えば、管理者と非管理者のどちらもがアクセスできるが、管理者が利用できるボタンが追加で設置されているようなフォーム) へのアクセス許可を有していなければならないという事実によって、危険性が緩和されます。

【Reflected file download vulnerability (System module - Drupal 6 and 7 - Moderately Critical)】
Drupal coreに、攻撃者がユーザーを騙して特定のファイルをダウンロードさせ、そこに含まれるJSONで記述された任意のコードを実行させることができる、Reflected File Download脆弱性が存在していました。
この脆弱性は、被害の対象となるのはサイト管理者のみであり、また攻撃の完遂には特定のウェブブラウザーが必要であるという事実により、危険性が緩和されます。

影響を受けるバージョンは、
Drupal6：Drupal core 6.38よりも前のバージョン、
Drupal7：Drupal core 7.43よりも前のバージョン、
Drupal8：Drupal core 8.0.4よりも前のバージョンです。

Drupal 6.xを使用している場合には、Drupal core 6.38へのアップグレードをおすすめします。
Drupal 7.xを使用している場合には、Drupal core 7.43へのアップグレードをおすすめします。
Drupal 8.0を使用している場合には、Drupal core 8.0.4へのアップグレードをおすすめします。

==元記事==

https://www.drupal.org/SA-CORE-2016-001

Tags