【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004
DRUPAL-SA-CORE-2016-004
2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。
●勧告ID : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日 : 2016/9/21
●セキュリティリスク: Critical
==概要==
▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)
ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。
▼「HTTPの例外」におけるクロスサイトスクリプティング (危険度大)
攻撃者が特別に細工したURLを作成することで、そのページをロードした被害者のブラウザー上で任意のコードを実行できていました。
Drupalが例外を適切にサニタイズしていませんでした。
▼管理者権限なしで、全設定をエクスポートし、ダウンロードすることが可能 (危険度大)
system.temporaryルートを利用することで全設定のエクスポートが可能となっていました。
全設定のエクスポートは「設定のエクスポート」権限を所持しているユーザーに限定されるべきです。
CVE識別名:
「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能: CVE-2016-7570
「HTTPの例外」におけるクロスサイトスクリプティング: CVE-2016-7571
管理者権限なしで、全設定をエクスポートし、ダウンロードすることが可能: CVE-2016-7572
影響を受けるバージョン:
Drupal 8.xバージョンです。
解決策:
Drupal 8.1.10 にアップグレードしてください。
==元記事==