PSA-2016-001: RESTWS と Coder モジュールの深刻な脆弱性を修正したセキュリティリリースについて

日本時間の7月13日午前2時頃に「Drupal 7 のあるモジュールで、任意の PHP のコードが実行できてしまう」セキュリティの脆弱性を修正したモジュールがリリースされるニュースが公表されました。

通常、脆弱性を修正したリリースはいきなり修正版が公開されて「早めにアップデートしてね」と言う流れなのですが、今回は深刻度の高さが 22/25 と言うことから異例の処置が取られたようで、該当のモジュール名が伏せられたまま7月14日午前1時(日本時間)にリリースされることだけがアナウンスされました。これは「アップデートするための猶予をあげるから、みんな時間になったら一斉にアップデートしてね」と言う意味で、2年前に起きた通称 Drupaggedon と呼ばれる SQL インジェクションができてしまうバグ SA-CORE-2014-005 - Drupal core - SQL injection が発見された時に、いつもどおりのリリース方法で多数のサイトが被害にあってしまったことに対する教訓だと思われます。

Drupal.org の Drupal contrib - Highly Critical - Remote code execution PSA-2016-001 の記事には「1,000 から 10,000 サイトで使用されているモジュール」と言う情報だけが掲載されています。普段コントリビュートモジュールをあまり利用されないかたには分かりにくい数値ですが、Drupal で最もインストールされている Views モジュールが Drupal 7 だけで 830,000 サイトなので、該当するモジュールを利用している確率はあまり高くはないともとれますが、十分に注意が必要なレベルです。

ちなみに今回の脆弱性は「任意の PHP コードが実行できる = 何でもできる」です。これがイマイチをピンと来ない方のために解説すると、サイトが改ざんされるだけならまだしも、データベースが簡単に丸ごと抜かれてしまいます。個人情報が入ったサイトであれば一巻の終わりですね。また、サイト管理者が気づかれないようなバックドアが仕掛けられて、アップデート後にも自由にアクセスできるようにされてしまうなど、「攻撃される前に対策をしないと、最低でもサイト全体を一から作りなおすことになる」と認識してください。

今回のリリースはいつもの Security advisories で公開されるそうです。

-- 追記 --

と、言うことで1時になり、該当のモジュールが発表されました。Highly critical として位置づけされているのは RESTful Web Services と Coder の2つモジュールでした。1つだけかと思っていたのですが、2つ同時だったんですね。いずれもログインしていないユーザーが任意の PHP コードが実行可能となるもので、対策はモジュールのアップデートのみです。

該当のモジュールについて簡単に紹介します。

• RESTful Web Services: その名の通り Drupal に RESTful な API を実装るためのモジュールで、オープンデータ用のディストリビューションとして有名な DKAN にも含まれているようです。REST API が使える Drupal サイトは導入されている可能性がかなり高いので注意しましょう。ちなみにこのモジュールは Drupal 8 でコアに取り込まれましたが、今回は Drupal 7 のモジュールのみが対象のようです。
• Coder: Drupal の開発者向けのモジュールで、サイト上に設置されたテーマやモジュールが Drupal のコーディング規約を正しく守っているかチェックするモジュール。完全に開発用のモジュールなので普通は公開されているサイトには入れないモジュールですが、今回の脆弱性はモジュールが有効になっていなくても置いてあるだけで攻撃が可能とのことなので、以前に Coder を使われたことがある方は本番サイトに紛れ込んでいないかよく注意する必要があります。

また、上記の2つとは別に Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038 も同時にリリースされています。こちらは条件が厳しい分、深刻度は低いのですが、同じように任意の PHP コードが実行できてしまうので、もし使用されている場合は速急にアップデートしましょう。

私としてはどれも試用したり名前を聞いたことがあるモジュールなので、明日は我が身と言うことを改めて思い知りました。