【セキュリティパッチ情報】Permissions by Term -- Critical - Multiple vulnerabilities - SA-CONTRIB-2017-001

Submitted by drupal-kanri on 金, 01/06/2017 - 10:36

2017年1月4日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-001
●プロジェクト : Permissions by Term (拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/1/4
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure

==概要==
Permissions by Termモジュールは、シングルノードへのアクセス制限を、タクソノミータームを利用して実現できるようにすることで、Drupalの機能を拡張します。
タクソノミータームはDrupalに組み込まれている中核的機能のひとつです。タクソノミータームに基づくパーミッションは、特定のユーザーアカウントおよび/またはユーザーロールに対して設定することが可能です。

このモジュールを不用意に有効化すると、不特定多数のユーザーに公開されていないノードへのアクセスを許可することになります。

==影響を受けるバージョン==
バージョン8.x-1.11.以前のPermissions by Term 8.x-1.xバージョンです。
Drupalコアには影響がありません。Permissions by Term拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==
Drupal 8.x,のPermissions by Termモジュールのバージョンを8.x-1.11.にアップグレードしてください。
https://www.drupal.org/project/permissions_by_term

==元記事==
https://www.drupal.org/node/2841094