【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004

Critical
コア

DRUPAL-SA-CORE-2016-004

2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID   : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日   : 2016/9/21
●セキュリティリスク: Critical

==概要==
▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)
ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。

▼「HTTPの例外」におけるクロスサイトスクリプティング (危険度大)
攻撃者が特別に細工したURLを作成することで、そのページをロードした被害者のブラウザー上で任意のコードを実行できていました。
Drupalが例外を適切にサニタイズしていませんでした。

▼管理者権限なしで、全設定をエクスポートし、ダウンロードすることが可能 (危険度大)
system.temporaryルートを利用することで全設定のエクスポートが可能となっていました。
全設定のエクスポートは「設定のエクスポート」権限を所持しているユーザーに限定されるべきです。

CVE識別名:
「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能: CVE-2016-7570
「HTTPの例外」におけるクロスサイトスクリプティング: CVE-2016-7571
管理者権限なしで、全設定をエクスポートし、ダウンロードすることが可能: CVE-2016-7572

影響を受けるバージョン:
Drupal 8.xバージョンです。

解決策:
Drupal  8.1.10 にアップグレードしてください。

==元記事==

https://www.drupal.org/SA-CORE-2016-004