・Advisory ID: DRUPAL-SA-CORE-2018-006
・Project: Drupal Core
・Version: 7.x,8.x
・Date: 2018/10/17

説明

コンテンツの管理 - アクセスバイパス - Drupal 8

状況によっては、コンテンツのモデレーションがユーザーのアクセスをチェックして特定のトランジションを使用することができず、アクセスのバイパスが発生します。

この問題を修正するために、下位互換性に影響する可能性があるコンテンツモデレーションに以下の変更が加えられました。

ModerationStateConstraintValidator
2つの追加サービスがこのサービスに導入されました。このサービスをサブクラス化すると、コンストラクタがオーバーライドされている場合、これらの追加の依存関係がコンストラクタに確実に渡されるようにする必要があります。

StateTransitionValidationInterface
このインタフェースに追加のメソッドが追加されました。インタフェースを拡張しないこのインタフェースの実装は、StateTransitionValidationこのメソッドを実装する必要があります。

ユーザー権限
以前は、コンテンツの状態遷移が使用されていなかったユーザーには、コンテンツの状態が変更されていない限り、コンテンツの更新アクセスが暗黙的に許可されていました。これで、コンテンツの状態がリビジョン間で変更されないシナリオでは、関連するトランジションへのアクセスがすべてのユーザーに対して検証されます。

RLエイリアスによる外部URLインジェクション - 中程度のクリティカル - オープンリダイレクト - Drupal 7とDrupal 8

パスモジュールを使用すると、「管理パス」を持つユーザーはコンテンツ用のURLを作成できます。

特定の状況では、ユーザーは悪意のあるURLへのオープンリダイレクトを引き起こす特定のパスを入力することができます。

この問題は、ユーザーが悪用するためにパス管理権限を必要とすることによって軽減されます。

匿名オープンリダイレクト - 中程度クリティカル - オープンリダイレクト - Drupal 8

Drupalのコアモジュールと貢献モジュールは、現在のページでアクションを完了した後、URLに「宛先」クエリ文字列パラメータを頻繁に使用して、ユーザーを新しい宛先にリダイレクトします。特定の状況下では、悪意のあるユーザーはこのパラメータを使用して、ユーザーを第三者のWebサイトにリダイレクトするように誘導するURLを構築し、潜在的なソーシャルエンジニアリング攻撃にユーザーをさらす可能性があります。

この脆弱性は一般に公開されています。

RedirectResponseSubscriberイベントハンドラの削除
フィックスの一部として削除されましたが、これはパブリック関数ですが、イベントサブスクライバのAPIポリシーに従ってAPIと見なされません。 そのクラスを拡張したり、そのメソッドを呼び出している場合は、パッチの変更に合わせて実装を再検討する必要があります。セキュリティの誤った認識を防ぐために、既存の機能が削除されました。\Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination

DefaultMailSystem :: mail（）の注入 - 重要 - リモートコード実行 - Drupal 7とDrupal 8

メールを送信するときに、シェルの引数に対していくつかの変数がサニタイズされていないため、リモートでコードが実行される可能性があります。

コンテキストリンクの検証 - 重要 - リモートでコードが実行される - Drupal 8

コンテキストリンクモジュールは、要求されたコンテキストリンクを十分に検証しません。
この脆弱性は、攻撃者が "コンテキスト・リンクにアクセス"する権限を持っている必要があるという事実によって軽減されます。

解決方法

Drupal 7または8コアの最新バージョンにアップグレードしてください。

・7.xを使用している場合は、Drupal 7.60にアップグレードしてください。
・8.6.xを実行している場合は、Drupal8.6.2にアップグレードしてください。
・8.5.x以前のバージョンを使用している場合は、Drupal 8.5.8にアップグレードしてください。
8.5.xより前のDrupal 8のマイナーバージョンはサポートされておらず、セキュリティカバレッジを受けないため、古いバージョンを実行しているサイトは上記の8.5.xリリースに