【セキュリティー情報】Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004

2017-08-29
Critical
コア

2017年8月16日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CORE-2017-004
●プロジェクト : Drupal Core
●バージョン : 8.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
・Views - Access Bypass - Moderately Critical - Drupal 8 - CVE-2017-6923:

ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターでディスプレイしているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューズのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限が実施している場合、この脆弱性が低減されます。

ビューを表示するに拡張モジュールを使用していても、全てのビューズにアクセス制限を追加するのが最も良い方法です。

より詳しい説明はViews Refresh拡張モジュールの/においての脆弱性ニュース記事もご覧ください:http://dev.drupal-navi.dcdev.jp/node/443/edit?destination=node/443

・REST API can bypass comment approval - Access Bypass - Moderately Critical - Drupal 8 - CVE-2017-6924:

REST APIを使用している際に、正則な権限を持っていないユーザーが認証したコメントを掲載できる権限を持たなくても、REST経由で認証したコメントを掲載することが可能になってしまいます。

この脆弱性が当てはまるのは、RESTful Web Services(rest)拡張モジュールを有効にしており、comment entity REST リソースを有効にし、さらに攻撃者はコメントを掲載できる権限を持っているユーザーアカウントにアクセスすることができるもしくは任意ユーザーはコメントを掲載することができるサイトのみです。

・UUIDのない、もしくは保護したリビジョンのあるエンティティーにおいてのエンティティーアクセスバイパス(Entity access bypass)- Access Bypass - Critical - Drupal 8 - CVE-2017-6925:

総アクセスシステムにおいて脆弱性が発生しており、エンティティーのビュー、作成、アップデートまたは削除への不正アクセスが可能になる恐れがあります。この脆弱性が当てはまるのはUUIDのないまたはUUIDを使わないエンティティー、そして同エンティティーの修正において異なるアクセス権限/制限のあるエンティティーのみです。

==影響を受けるバージョン==
8.3.7以下のDrupalコア8.xバージョンです。

==解決方法==。
8.xバージョンのDrupalコアを使用している場合は、8.3.7バージョンにアップグレードすることをお勧めします。Drupal7コアには影響がありませんが、Drupal7のビューにおいて別の脆弱性が発見されました。http://dev.drupal-navi.dcdev.jp/news/444 をご覧ください。
より詳しい説明はhttps://www.drupal.org/project/drupal をご覧ください。

==元記事==
https://www.drupal.org/SA-CORE-2017-004