【セキュリティパッチ情報】REST JSON - Multiple Vulnerabilities - Highly Critical - Unsupported - SA-CONTRIB-2016-033
2016年6月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-033
●プロジェクト : REST/JSON (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/6/8
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure, Multiple vulnerabilities
==概要==
REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。
しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。
・Node access bypass
・Comment access bypass
・User enumeration
・Field access bypass
・User registration bypass
・Blocked user login
・Session name guessing
・Session enumeration
影響を受けるバージョンは、すべての 7.x-1.x バージョンです。
Drupalのコアには影響しません。 REST/JSONを使用しない場合は、何もする必要はありません。
もし、Drupalの7.xのREST/JSONモジュールを使用する場合は、それをアンインストールすることで解決します。
こちらのプロジェクトページ(https://www.drupal.org/project/rest_json)もご覧ください。