【セキュリティパッチ情報】Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015
Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015
2016年3月9日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-015
●プロジェクト: Scald File Provider (拡張モジュール)
●バージョン : 7.x
●投稿日 : 2016/3/9
●セキュリティリスク: Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。
これにより、Scaldへのファイルのアップロードに必要な許可を取得する必要性、さらにはサーバーに少なくともひとつのサムネイル作成ツール (pdfdraw、convert、またはmudraw) がインストールされている必要性により軽減されます。
また、アップロード・ファイルに変換モジュールを使うことで、部分的にそれを軽減することも可能です。
影響を受けるバージョンはScald Fileモジュール全てのバージョンです。
Drupalのコアには影響しません。 Scald File Providerを使用しない場合は、何もする必要はありません。
もし、Drupalの7.xでScald Fileモジュールを使用している場合には、Scald File 7.x-1.3へのアップグレードをおすすめします。
こちらのプロジェクトページ(https://www.drupal.org/project/scald_file)もご覧ください。
==元記事==