【セキュリティパッチ情報】Panels - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-047
2016年8月17日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-047
●プロジェクト : Panels (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/8/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure
==概要==
▼Panelsがアクセスをチェックしないルートの存在 (Critical)
一定の権限を持つユーザーは、Panelsを利用してページやエンティティのレイアウト及びpanel panesを変更することができます。
これらのPanelsを変更する機能の多くは、アドミニストレーティブ・フォーム(管理フォーム)が必要なバックエンド・ルートに依存しています。
これらのフォームは、アクセス・チェックや、サイト用に特別にエンコードされたURLを何も提供していなかったので、攻撃者は、匿名のユーザーとしてバックエンドURLを推測し、フォームに読み込まれたデータを見ることができます。
この脆弱性を軽減する方法はありません。Panelsを有効化したサイトは全て、この攻撃を受ける可能性があります。
▼Panels In-Place Editorのアクセス・チェックが不適切 (Moderately Critical)
Panels In-Place Editor (IPE) では、一定の権限を持つユーザーが、ページのレイアウトやpanel contentを変更することができます。
Panels IPEのデフォルトでは、「Panels In-Place Editorの使用」及び「Panels In-Place Editorを使用したレイアウト変更」の権限を持つユーザーは誰でも、ページへの適切なアクセスの有無に関わらずIPEにアクセスすることができます。
ユーザーがページのコンテンツ自体を編集することはできませんが、レイアウトや表示された異なるpanel panesを変更することはできます。
この脆弱性は、攻撃者が「Panels In-Place Editorの使用」権限を持っていなければならないことと、IPE は特定のコンテンツタイプのために有効化しなければならないという事実により、軽減されます。
影響を受けるバージョンは、7.x-3.6以前の7.x-3.xバージョンです。
該当する場合はPanels 7.x-3.6にアップグレードすることをお勧めします。
Drupalのコアには影響しませんし、 Panels モジュールを使用しない場合は、何もする必要はありません。
こちらのプロジェクトページもご覧ください。(https://www.drupal.org/project/panels)