Tenable ブログ
ブログ通知を受信するDrupal、深刻な脆弱性に関するセキュリティアドバイザリ情報(SA-CORE-2018-002) を公開
![](https://www.tenable.com/sites/default/files/images/articles/Tenable_Research_RapidResponse_Medium_17.jpg)
Drupalはリモートでコードが実行される深刻な脆弱性(CVE-2019-6340)に対処するためにセキュリティアドバイザリを公開しました。
背景
2月20日、Drupalはソフトウェアのリモートコード実行の脆弱性(CVE-2019-6340)に関するセキュリティアドバイザリ(SA-CORE-2019-003)を公開しました。Drupalは、この脆弱性のセキュリティ上の危険度が「非常に深刻」と定義しています。
分析
セキュリティアドバイザリによると、フォーム以外のソースにリンクされた特定のフィールドタイプではデータが無害化されていないため、任意のPHPコードの実行可能になります。この脆弱性の影響を受けるのは、以下の特定のサイト構成です。
影響を受ける構成
- Drupal 8: JSON:APIまたはRESTful Web Servicesを使用するサイト (PATCHまたはPOSTリクエストが有効になっている場合)(2月22日更新) 、RESTful Webサービス、ハイパーテキストアプリケーション言語(HAL)、およびHTTP基本認証モジュールを使用するサイト
- Drupal 7: RESTful Web Servicesまたはサービスモジュールを使用するサイト
この脆弱性はDrupalセキュリティチームによって発見されたものであり、現時点では、この脆弱性は実世界では悪用されていないようです。
2月22日更新: このセキュリティアドバイザリに関連して、新しい分析が発表されました。 この分析は、PATCHおよびPOSTリクエストが有効になっている構成が影響を受けるという指摘は完全に正確ではなく、認証なしでGETリクエストを使用してリモートでコードが実行される可能性があることを示唆しています。Tenableは独自にこの分析が正しいことを確認しました。この新しい情報を反映するように「影響を受ける構成」と「解決策」のセクションが更新されました。
また、上記の新しい分析に基づき、このエクスプロイトが可能なモジュールはRESTful Webサービスモジュールだけではないことも確認されました。また、ハイパーテキストアプリケーション言語(HAL)とHTTP基本認証モジュールも有効にする必要があります。
HALまたはHTTP基本認証を有効にせずにPOCエクスプロイトを試みるとエラーになります(Drupal 8.6.9で試験済み)。
エクスプロイトを引き起こすのに必要な有効なモジュール (注:RESTful Webサービスを有効にすると、シリアル化が有効になります)。
ソリューション
この脆弱性を緩和するためには、パッチが適用されるまですべてのWebサービスモジュールを無効にするか、サーバー側の特定のリクエストタイプ(PUT / PATCH / POST)を無効にすることをDrupalは推薦しています。
2月22日更新: 新しい分析では、脆弱な他の構成が明らかになっているため、サーバー側のPUT / PATCH / POSTリクエストタイプを無効にするだけでは緩和策として十分ではありません。そのため、Tenableはできるだけ早くDrupalのパッチを当てたバージョンにアップグレードすることを強く推奨します。
Drupalはこの脆弱性に対処するためにDrupal 8.6.10とDrupal 8.5.11をリリースしました。Drupal 7 coreのアップデートはありません。Drupal 7系やDrupal 8系にはセキュリティ更新プログラムがリリースされています。更新されたモジュールには、以下が含まれています。
- RESTful Web Services
- JSON:API
- Link
- Metatag
- Video
- Paragraphs
- Translation Management Tool
- Font Awesome Icons
影響を受けているシステムの特定
この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
- Vulnerability Management