Drupal core - Critical - Multiple Vulnerabilities - SA-CORE-2018-001

2018-03-05
Critical
コア

2018年2月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●バージョン : 8.4.x-dev、7.x-dev
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。

▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926:
コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。

コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。

▼JavaScriptクロスサイトスクリプト防止は不完全です - クリティカル - Drupal 7 and Drupal 8 - CVE-2017-6927:
DrupalはDrupal.checkPlain() JavaScript機能を持っています。これは潜在的に危険なテキストをHTMLにする前に防ぎます(JavaScript出力は一般的にはTwiggのオートエスケープ処理を行いません)。この機能は、悪意のあるHTMLを挿入するすべての方法を適切に処理しないため、特定の状況下でクロスサイトスクリプティングの脆弱性が発生します。

DrupalがHTML回避のため提供するPHP機能は影響を受けません。

▼プライベートファイルアクセスバイパス - ある程度重大 - Drupal 7 - CVE-2017-6928:
Drupalのプライベートファイルシステムを使うとき、Drupalはユーザーがそれをダウンロード、もしくは閲覧する前に、ユーザーがファイルへのアクセスを持っているか確認します。この確認は、一つのモジュールがファイルへのアクセスを許可しようとし、もう一つがそれを拒否しようとした時など特定の状況下で失敗することがあり、それはアクセスバイパスの脆弱性を招きます。
この脆弱性は、それが稀なサイト設定時にしか起こらないという事実によって緩和されます。

▼信頼できないドメインに関わるjQueryの脆弱性 - ある程度重大 - Drupal 7 - CVE-2017-6929:
jQueryのクロスサイトスクリプトの脆弱性は、信頼できないドメインへAjaxリクエストを送る際に発生します。
この脆弱性は、不正利用のためにはコントリビュート、もしくはカスタムモジュールを使わなければならないという事実で緩和されます。

Drupal 8の場合、この脆弱性は、Drupal 8.4.0でjQuery 3へのDrupalコアのアップグレードで修正されました。Drupal 7では、現在のリリース(Drupal 7.57)でjQuery 1.4.4(Drupal 7コア)のほか、jQuery Updateモジュールを使用するなど、サイトで使用される可能性のある新しいバージョンのjQuery用にも使用できます。

▼多言語対応のサイトでノードのアクセス制限があると、言語のフォールバックが正確でない可能性 - ある程度重大 - Drupal 8 - CVE-2017-6930:
多言語対応サイトでノードアクセス制限を使う場合、DrupalはD未翻訳バージョンのノードをアクセスクエリのデフォルトフォールバックとしてマークします。このフォールバックは、作成されたノードの翻訳バージョンがまだ対応されていない言語で使用されます。これにより、アクセスバイパスの脆弱性が生じる可能性があります。
この問題は、a)コンテンツ変換モジュールを使用するサイトにのみ適用される;そして b)hook_node_access_records()を設置するDomain Accessなどのノードアクセスモジュールを使用する、という事実によって緩和されます。

アップデートはノードアクセステーブルの再構築を要求します。ノードの数が多ければ、アップデートに時間がかかります。

▼設定トレーアクセスバイパス - ある程度重大 - Drupal 8 - CVE-2017-6931:
セッティングトレーモジュールは、ユーザーが許可する権利を持たないデータをアップデートしてしまう脆弱性を持っています。

もし設定トレーにコントリビュート、もしくはカスタムモジュールを設置した場合、正確なアクセスチェックが追加されなければなりません。このリリースでは、コアに設置されているの2つの装備が修正されていますが、他のバイパスに対しては強化されていません。
この脆弱性は、セッティングトレイモジュールを作動させないことで緩和されます。

▼現在のページにリンクする際、404ページに外部リンクを挿入 - あまり重大ではない - Drupal 7 - CVE-2017-6932
Drupalコアは、言語スイッチャーブロックが使われた時、外部リンク挿入に対し脆弱性を持ちます。同じような脆弱性がカスタム、もしくはコントリビュートモジュールに存在します。この脆弱性によって攻撃者は、ユーザーを騙し、外部サイトに誘導することができます。

==解決方法==。
最新バージョンをインストールしてください。
Drupal 8を使用している場合は、Drupal 8.4.5にアップグレードしてください。
Drupal 7を使用している場合は、Drupal 7.57にアップグレードしてください。

==元記事==
https://www.drupal.org/sa-core-2018-001