ANNAIマガジン
Drupal Coreの脆弱性-SA-CORE-2019-003
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-003
プロジェクト: Drupal core
日付: 2019年2月20日
セキュリティリスク:極めて危険 リスクレベル 20(最大25) CI:All/II:All/E:Theoretical/TD:Uncommon (リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性:リモートでのコード実行
CVE IDs: CVE-2019-6340


詳細

いくつかのフィールドタイプへのフォーム以外からの入力が適切にサニタイズされません。これにより任意のPHPコードが実行される場合があります。
以下の条件のいずれかの条件が満たされる場合のみサイトへの影響が発生します。

  • Drupal 8のコアモジュールRESTful Web Servicesが有効になっていてPATCHまたはPOSTリクエストが許可されている。
  • Drupal 8の場合はJSON:APIのような、Drupal 7の場合はServicesまたはRESTful Web ServicesのようなWebサービスのモジュールが有効になっている。

(注意:Drupal 7のServicesモジュール自体は今のところアップデートは不要です。しかしServicesモジュールを使用しているのであれば関連して他のモジュールのアップデートが必要となる場合があります。)

対応方法

  • Drupal 8.6.xを使用中ならばDrupal 8.6.10にアップグレードして下さい。
  • Drupal 8.5.x以前を使用中ならばDrupal 8.5.11にアップグレードして下さい。
  • 上記のDrupal 8のアップグレード後https://www.drupal.org/security/contribにある関連モジュールのセキュリティアップデートを実行して下さい。
  • Drupal 7の場合はコアのアップデートは不要ですが、いくつかのモジュールはアップデートが必要です。https://www.drupal.org/security/contribを参照して下さい。

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。8.5.11または8.6.10へのアップグレードが必要です。
脆弱性を即座に回避するためには全てのWebサービスのモジュールを無効化するか、Webサーバーがリソースに対する PUT/PATCH/POSTリクエストを受け付けないように設定して下さい。Webサーバーの設定変更をする場合はサーバー構成によってはリソースに対して複数のパスが存在することがあるので注意して下さい。Drupal 7ではクリーンURLのパスにq=という引数をつけてリソースを参照するのが一般的です。Drupal 8の場合は「index.php/」を先頭に付けた形でのパスが有効な場合があります。

追加情報:本日発表されたモジュールの脆弱性について

以下のモジュールの脆弱性も発表されました。該当するモジュールを利用されている方はアップデートを実施してください。

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ