【セキュリティパッチ情報】Drupal Remote Dashboard - Critical - Weak encryption keys - SA-CONTRIB-2017-046

2017-05-16
Critical
拡張モジュール

2017年5月10日 (日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-046
●プロジェクト : Drupal Remote Dashboard(拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/05/10
●セキュリティリスク : Critical
●脆弱性 : Access Bypass, Information Disclosure
 (アクセスバイパス、情報解放)

==概要==
このモジュールはDrupalサイトにリモートアクセスできる機能を提供し、諸サイトを一所から管理できることを可能にします。

本モジュールはシステム管理者が暗証化タイプ条件基準を満たしている十分安全な暗号キーを使用しているかどうかを十分確保/擁護しません。したがって、管理ダッシュボードとサイト間コミュニケーションの弱い暗証化が原因で攻撃者によって復号化される恐れがあります。

==影響を受けるバージョン==
Drupal Remote Dashboardの8.x-3.2未満の8.x-3.xバージョンです。
Drupalコアには影響がありません。
Drupal Remote Dashboard 拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==。
Drupal 8.xバージョン用のDrupal Remote Dashboard 拡張モジュールを使用している場合は、8.x-3.2バージョンにアップグレードをお勧めします。より詳しい説明はhttps://www.drupal.org/project/drd をご覧ください。

==元記事==
https://www.drupal.org/node/2877388