アドバイザリ ID: DRUPAL-SA-CORE-2019-003
プロジェクト: Drupal core
日付: 2019年2月20日
セキュリティリスク:極めて危険 リスクレベル 20(最大25) CI:All/II:All/E:Theoretical/TD:Uncommon (リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。)
脆弱性:リモートでのコード実行
CVE IDs: CVE-2019-6340
詳細
いくつかのフィールドタイプへのフォーム以外からの入力が適切にサニタイズされません。これにより任意のPHPコードが実行される場合があります。
以下の条件のいずれかの条件が満たされる場合のみサイトへの影響が発生します。
- Drupal 8のコアモジュールRESTful Web Servicesが有効になっていてPATCHまたはPOSTリクエストが許可されている。
- Drupal 8の場合はJSON:APIのような、Drupal 7の場合はServicesまたはRESTful Web ServicesのようなWebサービスのモジュールが有効になっている。
(注意:Drupal 7のServicesモジュール自体は今のところアップデートは不要です。しかしServicesモジュールを使用しているのであれば関連して他のモジュールのアップデートが必要となる場合があります。)
対応方法
- Drupal 8.6.xを使用中ならばDrupal 8.6.10にアップグレードして下さい。
- Drupal 8.5.x以前を使用中ならばDrupal 8.5.11にアップグレードして下さい。
- 上記のDrupal 8のアップグレード後https://www.drupal.org/security/contribにある関連モジュールのセキュリティアップデートを実行して下さい。
- Drupal 7の場合はコアのアップデートは不要ですが、いくつかのモジュールはアップデートが必要です。https://www.drupal.org/security/contribを参照して下さい。
Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。8.5.11または8.6.10へのアップグレードが必要です。
脆弱性を即座に回避するためには全てのWebサービスのモジュールを無効化するか、Webサーバーがリソースに対する PUT/PATCH/POSTリクエストを受け付けないように設定して下さい。Webサーバーの設定変更をする場合はサーバー構成によってはリソースに対して複数のパスが存在することがあるので注意して下さい。Drupal 7ではクリーンURLのパスにq=という引数をつけてリソースを参照するのが一般的です。Drupal 8の場合は「index.php/」を先頭に付けた形でのパスが有効な場合があります。
追加情報:本日発表されたモジュールの脆弱性について
以下のモジュールの脆弱性も発表されました。該当するモジュールを利用されている方はアップデートを実施してください。
- RESTful Web Services - Critical - Access bypass - SA-CONTRIB-2019-018
- JSON:API - Highly critical - Remote code execution - SA-CONTRIB-2019-019
- Link - Critical - Remote Code Execution - SA-CONTRIB-2019-020
- Metatag - Critical - Remote code execution - SA-CONTRIB-2019-021
- Video - Critical - Remote Code Execution - SA-CONTRIB-2019-022
- Paragraphs - Critical - Remote Code Execution - SA-CONTRIB-2019-023
- Translation Management Tool - Critical - Remote Code Execution - SA-CONTRIB-2019-024
- Font Awesome Icons - Critical - Remote Code Execution - SA-CONTRIB-2019-025
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2024-001)
- Drupal Core の脆弱性について (SA-CORE-2023-006)
- Drupal Core の脆弱性について (SA-CORE-2023-005)
- Drupal Core の脆弱性について (SA-CORE-2023-004)
- Drupal Core の脆弱性について (SA-CORE-2023-003)
- Drupal Core の脆弱性について (SA-CORE-2023-002)
- Drupal Core の脆弱性について (SA-CORE-2023-001)
- Drupal Core の脆弱性について (SA-CORE-2022-016)
- Drupal Core の脆弱性について (SA-CORE-2022-015)
- Drupal Core の脆弱性について (SA-CORE-2022-014)
Drupal 初心者講座バックナンバー
- Drupal 9/10 初心者講座
- 第 1 回 歴史に見る Drupal の DNA
- 第 2 回 Drupal はフレームワークか?CMS か?他の CMS との比較
- 第 3 回 Drupal の特徴
- 第 4 回 Drupal 9 / 10 のインストール (1)
- 第 5 回 Drupal 9 / 10 のインストール (2)
- 第 6 回 Drupal にコンテンツを投稿してみる
- 第 7 回 Drupal のボキャブラリとタクソノミーの使い方
- 第 8 回 コンテンツ管理における Drupal と他の CMS との比較
- 第 9 回 Drupal のブロックシステム
- 第 10 回 Drupal の標準クエリビルダー Views の使い方
- 第 11 回 Drupal と他の CMS のクエリビルダー機能を比較
- 第 12 回 Drupal の多言語機能と他の CMS やサービスとの比較
- 第 13 回 Drupal の権限設定と WordPress や Movable Type との比較
- 第 14 回 Drupal のテーマシステムについて
- 第 15 回 Drupal の拡張モジュールの選定と使い方
- 第 16 回 Drupal をもっと知りたい方に向けた各種情報