Tenable ブログ
ブログ通知を受信する
Drupal、深刻な脆弱性に関するセキュリティアドバイザリ情報(SA-CORE-2018-002) を公開
Drupalはリモートでコードが実行される深刻な脆弱性(CVE-2019-6340)に対処するためにセキュリティアドバイザリを公開しました。
背景
2月20日、Drupalはソフトウェアのリモートコード実行の脆弱性(CVE-2019-6340)に関するセキュリティアドバイザリ(SA-CORE-2019-003)を公開しました。Drupalは、この脆弱性のセキュリティ上の危険度が「非常に深刻」と定義しています。
分析
セキュリティアドバイザリによると、フォーム以外のソースにリンクされた特定のフィールドタイプではデータが無害化されていないため、任意のPHPコードの実行可能になります。この脆弱性の影響を受けるのは、以下の特定のサイト構成です。
影響を受ける構成
- Drupal 8: JSON:APIまたはRESTful Web Servicesを使用するサイト (PATCHまたはPOSTリクエストが有効になっている場合)(2月22日更新) 、RESTful Webサービス、ハイパーテキストアプリケーション言語(HAL)、およびHTTP基本認証モジュールを使用するサイト
- Drupal 7: RESTful Web Servicesまたはサービスモジュールを使用するサイト
この脆弱性はDrupalセキュリティチームによって発見されたものであり、現時点では、この脆弱性は実世界では悪用されていないようです。
2月22日更新: このセキュリティアドバイザリに関連して、新しい分析が発表されました。 この分析は、PATCHおよびPOSTリクエストが有効になっている構成が影響を受けるという指摘は完全に正確ではなく、認証なしでGETリクエストを使用してリモートでコードが実行される可能性があることを示唆しています。Tenableは独自にこの分析が正しいことを確認しました。この新しい情報を反映するように「影響を受ける構成」と「解決策」のセクションが更新されました。
また、上記の新しい分析に基づき、このエクスプロイトが可能なモジュールはRESTful Webサービスモジュールだけではないことも確認されました。また、ハイパーテキストアプリケーション言語(HAL)とHTTP基本認証モジュールも有効にする必要があります。
HALまたはHTTP基本認証を有効にせずにPOCエクスプロイトを試みるとエラーになります(Drupal 8.6.9で試験済み)。
エクスプロイトを引き起こすのに必要な有効なモジュール (注:RESTful Webサービスを有効にすると、シリアル化が有効になります)。
ソリューション
この脆弱性を緩和するためには、パッチが適用されるまですべてのWebサービスモジュールを無効にするか、サーバー側の特定のリクエストタイプ(PUT / PATCH / POST)を無効にすることをDrupalは推薦しています。
2月22日更新: 新しい分析では、脆弱な他の構成が明らかになっているため、サーバー側のPUT / PATCH / POSTリクエストタイプを無効にするだけでは緩和策として十分ではありません。そのため、Tenableはできるだけ早くDrupalのパッチを当てたバージョンにアップグレードすることを強く推奨します。
Drupalはこの脆弱性に対処するためにDrupal 8.6.10とDrupal 8.5.11をリリースしました。Drupal 7 coreのアップデートはありません。Drupal 7系やDrupal 8系にはセキュリティ更新プログラムがリリースされています。更新されたモジュールには、以下が含まれています。
- RESTful Web Services
- JSON:API
- Link
- Metatag
- Video
- Paragraphs
- Translation Management Tool
- Font Awesome Icons
影響を受けているシステムの特定
この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
CVE-2024-5806: Progress MOVEit Transfer Authentication Bypass Vulnerability
June 25, 2024Progress Software has patched a high severity authentication bypass in the MOVEit managed file transfer (MFT) solution. As MOVEit has been a popular target for ransomware gangs and other threat actors, we strongly recommend prioritizing patching of this vulnerability.
Cybersecurity Snapshot: CISA Tells Tech Vendors To Squash Command Injection Bugs, as OpenSSF Calls on Developers To Boost Security Skills
July 12, 2024Check out CISA’s call for weeding out preventable OS command injection vulnerabilities. Plus, the Linux Foundation and OpenSSF spotlight the lack of cybersecurity expertise among SW developers. Meanwhile, GenAI deployments have tech leaders worried about data privacy and data security. And get the latest on FedRAMP, APT40 and AI-powered misinformation!
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
- Vulnerability Management