2023年3月16日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。
Security advisories(公式サイト)
- https://www.drupal.org/sa-core-2023-002
- https://www.drupal.org/sa-core-2023-003
- https://www.drupal.org/sa-core-2023-004
脆弱性の内容
SA-CORE-2023-002
影響度
- 中程度(Moderately critical)
内容と問題
- Mediaモジュールは、エンティティへのアクセスを適切にチェックしない場合があります。
- そのため、プライベートなファイルを含め、アクセス権のないメディアアイテムのサムネイルが表示されることがあります。
- メディアアイテムのサムネイルが表示される場所は、管理画面でのメディア一覧やコンテンツ追加時のメディア選択ウィンドウがあり、どちらも一般ユーザーはアクセスできない部分のため影響は限定的です。
SA-CORE-2023-003
影響度
- 中程度(Moderately critical)
内容と問題
- Languageモジュールが提供するスイッチャーブロックでは、言語を切り替えるためのリンクを提供しています。
- しかしこの機能により、未公開の翻訳のURLが公開されることがあります。
- また、Pathautoなどのモジュールと併用していると、未公開コンテンツのタイトルが公開される場合があります。
- 翻訳可能なサイトの場合のみ影響があります。
- 翻訳可能なサイトではURLに言語コード(ja/en等)が入るため、未公開の翻訳のURLが推測されやすいです。このため、元々想定可能な部分であり大きな問題には繋がらないと考えます。
- 未公開コンテンツのタイトルは公開されますが、コンテンツの本文等は公開されないため限定的な問題です。
- 限定的な問題なため、緊急性がないと判断しています。
SA-CORE-2023-004
影響度
- 中程度(Moderately critical)
内容と問題
- Drupalのコアが提供するphpinfo()ページには、PHPの構成情報が表示されています。
- 攻撃者がXSS攻撃を実行し、このページにアクセスすると機密情報を盗み出すことができます。
- しかし、この脆弱性を悪用するためにはXSS攻撃に成功する必要があり、またこのページ(PHPの構成情報を表示するページ)は管理者権限を持たないユーザーはアクセスできないため影響は限定的です。
対応方法
- Drupal 10.0 を使用している場合は、Drupal 10.0.5に更新してください。
- Drupal 9.5 を使用している場合は、Drupal 9.5.5に更新してください。
- Drupal 9.4 を使用している場合は、Drupal 9.4.12に更新してください。
弊社の対応
- 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。