Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
2019年2月20日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●投稿日 :2019/2/20
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution
==概要==
フォーム以外からのデータが適切にサニタイズされないフィールドタイプがあります。この場合、PHPコードが勝手に実行されてしまう可能性があります。
サイトが影響を受けるのは、次の条件のうち一つが当てはまる場合のみです。
・サイトで Drupal 8 コアの RESTful Webサービス (rest) モジュールが有効になっており、 GET、PATCH 、POST のリクエストが受け入れられている場合
・サイトで別のウェブサービスモジュール(例えば Drupal 8 の JSON:API 、Drupal 7 のServicesあるいは RESTful Web Services ) が有効になっている場合
(注意:Drupal 7 サービスモジュールそれ自体は現時点ではアップデートする必要はありませんが、サービスが利用されているなら、本アドバイザリーと関連する別のアップデートが必要となります。)
▼アップデート
2019年2月20日:アップデートされたリスクスコアが記載された新情報PSA-2019-02-22をご覧ください。現在エクスプロイトの存在が確認されているためセキュリティリスクスコアは 23/25 にアップデートされました。これに加え、RESTリソースのエンドポイントは、GET のリクエストしか受け入れていないものでも危険です。ただし ビューモジュールからの REST エクスポートについてはここに含まれません。
▼解決方法
Drupal 8.6.x をお使いの場合、Drupal 8.6.10 にアップグレードしてください。
Drupal 8.5.x あるいはそれ以前のバージョンをお使いの場合、Drupal 8.5.11にアップグレードしてください。
Drupal コアアップデート後は、作業中のプロジェクトに関して利用可能なセキュリティアップデートは全てインストールして下さい。
Drupal 7 についてはコアアップデートは必要ありませんが、Drupal 7提供モジュールの中にはアップデートが必要なものもあります。
8.5.x 以前の Drupal 8 についてはサポートが終了しており、セキュリティサービスの対象とはなりません。
直ちに脆弱性を改善するには、全てのウェブサービスモジュールを無効化にするか、ウェブサービスリソースにGET/PUT/PATCH/POST のリクエストを受け入れないようウェブサーバーを設定をします。
お使いのサーバーのコンフィギュレーションによりますが、ウェブサービスリソースは複数のパスで利用できる場合があります。
例えば、Drupal 7 に関するリソースは通常、パス (クリーンURL) と 'q' クエリ引数までの引数を介して利用できます。
Drupal 8では、パスはindex.php /を前に付けても機能する場合があります。
▼レポート:
Drupal セキュリティチーム サミュエル・モーテンソン
==元記事==
https://www.drupal.org/sa-core-2019-003
※同日に以下のモジュールの脆弱性も発表されました。ご利用中のモジュールをご確認のうえ、アップデートをおすすめします。
・RESTful Web Services
https://drupal-navi.jp/news/528
・JSON:API
https://drupal-navi.jp/news/529
・Link
https://drupal-navi.jp/news/530
・Metatag
https://drupal-navi.jp/news/531
・Video
https://drupal-navi.jp/news/532
・Paragraphs
https://drupal-navi.jp/news/533
・Translation Management Tool
https://drupal-navi.jp/news/534
・Font Awesome Icons
https://drupal-navi.jp/news/535