Drupal Core(SA-CORE-2019-003)および複数のモジュールの脆弱性について

この記事は「 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003 」の翻訳です。

この記事の目次

こんにちは、「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」サポート担当の刀祢(とね)です。

DrupalセキュリティーチームからDrupalコア(SA-CORE-2019-003)および複数のモジュールのセキュリティーアドバイザリーが発表されました。Drupalをお使いの方はアップデートを実施してください。

アドバイザリ ID: DRUPAL-SA-CORE-2019-003
プロジェクト: Drupal core
日付: 2019年2月20日
セキュリティリスク：極めて危険　リスクレベル 20(最大25) CI:All/II:All/E:Theoretical/TD:Uncommon (リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。)
脆弱性：リモートでのコード実行
CVE IDs: CVE-2019-6340

詳細

いくつかのフィールドタイプへのフォーム以外からの入力が適切にサニタイズされません。これにより任意のPHPコードが実行される場合があります。
以下の条件のいずれかの条件が満たされる場合のみサイトへの影響が発生します。

Drupal 8のコアモジュールRESTful Web Servicesが有効になっていてPATCHまたはPOSTリクエストが許可されている。
Drupal 8の場合はJSON:APIのような、Drupal 7の場合はServicesまたはRESTful Web ServicesのようなWebサービスのモジュールが有効になっている。

(注意：Drupal 7のServicesモジュール自体は今のところアップデートは不要です。しかしServicesモジュールを使用しているのであれば関連して他のモジュールのアップデートが必要となる場合があります。)

対応方法

Drupal 8.6.xを使用中ならばDrupal 8.6.10にアップグレードして下さい。
Drupal 8.5.x以前を使用中ならばDrupal 8.5.11にアップグレードして下さい。
上記のDrupal 8のアップグレード後https://www.drupal.org/security/contribにある関連モジュールのセキュリティアップデートを実行して下さい。
Drupal 7の場合はコアのアップデートは不要ですが、いくつかのモジュールはアップデートが必要です。https://www.drupal.org/security/contribを参照して下さい。

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。8.5.11または8.6.10へのアップグレードが必要です。
脆弱性を即座に回避するためには全てのWebサービスのモジュールを無効化するか、Webサーバーがリソースに対する PUT/PATCH/POSTリクエストを受け付けないように設定して下さい。Webサーバーの設定変更をする場合はサーバー構成によってはリソースに対して複数のパスが存在することがあるので注意して下さい。Drupal 7ではクリーンURLのパスにq=という引数をつけてリソースを参照するのが一般的です。Drupal 8の場合は「index.php/」を先頭に付けた形でのパスが有効な場合があります。