Please Sign In or Register

HOMEお知らせ

Drupal 5.6 / 4.7.11 のリリース

2008-01-11(金) 17:05 - 0829

Drupal コアに複数のセキュリティホールが発見されたようです。
このセキュリティホールへの対策およびいくつかのバグフィックスが行なわれた Drupal 5.6 および 4.7.11 がリリースされ、それらのバージョンへのアップグレードが強く推薦されています。

※ なお、Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上の環境が必要になりますので、ご注意ください。(以前のバージョンまでのシステム要件は PHP 4.3.3 以上でした。)

危険度 : 低(Less)
脆弱性 : クロスサイトリクエストフォージェリ(CSRF)
影響を受けるバージョン : 4.7.x, 5.x
回避策 : 4.7.9 または 5.4 へのバージョンアップ
aggregator モジュールによって受け取った内容に悪意のあるコードが含まれていた場合、意図しない操作が行われてしまうことがある。

危険度 : 中(Moderately)
脆弱性 : クロスサイトスクリプティング(XSS) - UTF8
影響を受けるバージョン : 4.7.x, 5.x
回避策 : 4.7.9 または 5.4 へのバージョンアップ
UTF-8 の仕様で無効とされる文字列が IE6 で適切に扱われないことを利用して、悪意のある Javascript コードを送信されてしまうことがある。

危険度 : 低(Less)
脆弱性 : クロスサイトスクリプティング(XSS) - register_globals
影響を受けるバージョン : 4.7.x, 5.x
回避策 : 4.7.9 または 5.4 へのバージョンアップ
register_globals が有効にされている場合かつ .tpl.php ファイルがウェブアクセス可能な場合、匿名ユーザに悪意のあるコードを実行さてしまうことがある。

register_globals については、Drupal の .htaccess ファイルにも無効にするための設定が記述されているので、通常は大丈夫…と思いますが、サーバの環境によっては .htaccess が使用できなかったり、register_globals の設定を変更できなかったりしますので、念の為、確認することをお勧めします。
Drupal 5.6 および 4.7.11 のバージョンからは、register_globals が有効になっている場合、管理ページに警告が表示されるようになっているそうです。

[参考]
Drupal 4.7.11 and 5.6 fixing security issues released | drupal.org
SA-2008-005 - Drupal core - Cross site request forgery | drupal.org
SA-2008-006 - Drupal core - Cross site scripting (UTF8) | drupal.org
SA-2008-007 - Drupal core - Cross site scripting (register_globals) | drupal.org

トラックバック

トラックバックは承認後に表示されます。

URLから "-nospam" を削除してトラックバックを送信してください。

コメント

PHPの要件

2008-01-15(火) 19:05 - amayadori@drupa...

※ なお、Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上が必要になるらしく、これまでのシステム要件である PHP 4.3.3 以上の環境が必要になりますので、ご注意ください。

結局、PHPは 4.3.5 が必須なのでしょうか?
それとも、 4.3.3 が必須なのでしょうか?
4.3.3より上位バージョンの環境が必要・・・と言うことが言いたかったんですよね?、きっと。

余談ですが、いつの間にか、OpenID認証は外されたんですね。
まあ、使ってないのでいいのですが・・・。
どなたか、使われている方、いらっしゃいます?

申し訳ありません。

2008-01-16(水) 20:08 - 0829

わかりにくい表現で、申し訳ありませんでした。
ご指摘いただいた部分については、本文の修正を行わせていただきました。

ただ、システム要件として必要とされている PHP のバージョンについての正確な情報は、 drupal.org のアナウンスを確認されるのが一番だと思います。
Drupal 4.7.11 and 5.6 now require PHP 4.3.5 or higher as the minimum version. の部分が Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上が必要になる らしいことを言っているのではないかと受け取れたのですが、それが真実かどうかは私の英語力では断言できませんので…orz

と、OpenID 認証は「外した」のではなく、サーバ移転の際に「設置し忘れてた」ようです。
あまり細かいところまで動作確認をしていなかったので、見落としていました。 申し訳ありません。
OpenID については、登録もしていただいてはいるのですが、コメントなどを行わない限り特にログインしなくても問題はないはずですから、今後はどうするかちょっと考えて見ます。

いつもいつも・・・

2008-01-18(金) 14:51 - amayadori@drupa...

いつもいつも、子供じみた、どうでも良さそうなことばかり言ってて申し訳ありません・・・。

ワタシにしても、0829さんにしても、素のままで日本語以外が読み書きできる人間ではないので、書かれることは"だと思います"という部分が存在するのは致し方のないことだと思います。
ワタシは、明確ではないことは曖昧な表現で書いたり、"確認はしてません"とか、平気で書くのでいいのですが(誉められることではありませんが)、0829さんの場合は、きちっとした文章で、本当に使える情報として書かれているものが圧倒的に多いので、このサイトを拠り所にする人も相当数いるかと思います。
なので、逆に、不確かなことは、その辺をキチンと明記しないといつか不利益を被りかねませんよ・・・と危惧するのです。
翻訳力が保証できないのであれば、面倒にはなると思いますが、"必ずdrupal.orgのページで確認してから"などをその都度明記するなどした方が良いのではないかと思います。
公営ギャンブルの結果を放送局が流すときのあれ「競争結果は必ず、主催者の発表と照合してください」っていうのと同じかんじで。
でないと「この情報を信用して被害を被った」とか「日本語のサイトに英語の記事をまんま転載するな(実は、これはワタシです(^_^;))」とかいう八つ当たりを受けかねません。

スミマセン
こんな事をわざわざ書いていいものかどうかずっと悩んだのですが、被害が出る前に・・・と思いまして書かせていただきました。
お気を悪くされたら遠慮無く消してください。

ちなみに、

※ なお、Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上が必要になるらしく、これまでのシステム要件である PHP 4.3.3 以上の環境が必要になりますので、ご注意ください。

Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上が必要になる

と、ストレートに書いてしまえば良かったのではないかと思ったりもします。
ワタシだったら、この後にすかさず「ようですが、確認はしていません」って、書くと思いますが(^_^;)
掘り返して、スミマセン<(_ _)>

いえいえ、ご指摘には感謝していますので…

2008-01-19(土) 16:13 - 0829

意味の分かりにくい内容や、誤字脱字などをご指摘いただくのは本当にありがたいことですので、いつも感謝しています。

以前のシステム要件を記載しないというご意見もごもっともだと思うのですが、今回の記載については、私自身、「これまではどのバージョン以上の PHP 環境が必要だったっけ?」と、システム要件の再確認を行ったりしたので、また同じ作業を繰り返さないように…という意味で、削除するのではなく()を使用した修正内容とさせていただきました。
ご容赦ください。

「確認していない」というのは、とても難しい表現ですよね。
コンテンツを公開する場合には、一応、動作確認などを行ってから記載するように心掛けているので、今回のコンテンツ内容であれば、現時点では、

  • 実際に PHP 4.3.5 未満では本当に動作しないのか? → 未確認
  • コード中に記載されている必要な PHP のバージョン情報は? → Drupal 5.6 については確認済み
  • どのファイルにどのような変更が行われているのか? → Drupal 5.6 については確認済み

となっていて、こういった詳細内容を記載してもいいのですが、記載してしまうと、その後の管理が大変そうですし…

また、「英語読解力の不足による勘違い」や「その後の追加アナウンス等の確認漏れ」などについては、

また何か発見したり、勘違いがあったりしたら修正させていただきます。

という内容を、出典情報と合わせて記載させていただいているので、それで十分ではないかと感じています。

個人的なサイトである以上、必要以上に責任問題について考えなければならないとは思えませんし、もしもトラブルが起こるようであればそのときに対処を考えたいと思います。
…が、今のところはそういった雰囲気はありませんのでご安心ください。

何はともあれ、もしもの可能性を考えるきっかけをいただいたことに感謝いたします。ありがとうございました。

早速、修正。

2008-01-11(金) 17:38 - 0829

register_globals が有効にされている場合かつ theme.tpl.php ファイルがウェブアクセス可能な場合、匿名ユーザに悪意のあるコードを実行さてしまうことがある。

の、(誤)theme.tpl.php は (正).tpl.php の誤りでしたので、修正を行いました。(スミマセン…)

基本的にはセキュリティに関する説明はあまり自信が持てる内容ではありませんので、詳細については drupal.org で正しい情報を確認される方が間違いないです。
(なんとなく雰囲気が分かった方がいいかな?という気持ちですので、ご容赦ください。)

出典などを…

2008-01-11(金) 17:24 - 0829

お知らせに記述した内容の出典情報などを、以下に紹介させていただきます。

「Drupal 5.6 および 4.7.11 では PHP 4.3.5 以上が必要になるらしい」

Drupal 4.7.11 and 5.6 now require PHP 4.3.5 or higher as the minimum version.
SA-2008-006 - Drupal core - Cross site scripting (UTF8) | drupal.org


「Drupal 5.6 および 4.7.11 のバージョンからは、register_globals が有効になっている場合、管理ページに警告が表示されるようになっている」

Drupal 4.7.11 and 5.6 will present a warning on the administration page when register_globals is enabled.
SA-2008-007 - Drupal core - Cross site scripting (register_globals) | drupal.org

また、追加で、以下のような内容も発見しました。

「register_globals が有効となっている環境では Drupal 5.6 はインストールできない(既存のサイトは動作する)」

Drupal 5.6 will refuse installation on an insecurely configured server. Existing sites will continue to work.
SA-2008-007 - Drupal core - Cross site scripting (register_globals) | drupal.org

「GeSHi Filter や Code Filter などのモジュールは UTF-8 の仕様で無効とされる文字列を挿入する場合があるので、適切な対応方法が見つかるまではモジュールを無効にした方がよいらしい」

Use of modules that purposely insert bytes that are invalid UTF-8 characters, such as GeSHi Filter and Code Filter will cause any text using the filter to not be displayed. Disable the modules until a solution has been found.
SA-2008-006 - Drupal core - Cross site scripting (UTF8) | drupal.org

今のところ、以上になります。
また何か発見したり、勘違いがあったりしたら修正させていただきます。

コメントの表示オプション

お好みの表示方法を選択し、「設定の保存」をクリックすると、表示方法を変更することができます。