【セキュリティパッチ情報】LDAP - Critical - Data Injection - SA-CONTRIB-2017-052

2017-06-06
Critical
拡張モジュール

2017年5月31日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-052
●プロジェクト : Lightweight Directory Access Protocol (LDAP)(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/05/31
●セキュリティリスク : Critical
●脆弱性 : Multiple vulnerabilities

==概要==
いくつかのケースで、LDAPモジュールがユーザーの入力を正しくサニタイズせず、ユーザーが制約なくパラメーターを修正したり、データを挿入できてしまう場合があります。

もしサイト管理者がユーザーフォームにEメールやパスワードを ("管理者権限"で表示する又は利用不可にする代わりに) 表示させないように選択した場合 、それらの値は上書きされてしまう可能性があります。

==影響を受けるバージョン==
LDAPの7.x-2.2.以下の7.x-2.xバージョンは影響を受けます。

Drupalコアには影響がありません。
Lightweight Directory Access Protocol (LDAP)拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==。
Drupal 7.x-2.x用のLDAPモジュールをお使いの場合は、LDAP-7.x-2.2へアップグレードをすることをお勧めします。より詳しい説明はhttps://www.drupal.org/project/ldap をご覧ください。

==元記事==
https://www.drupal.org/node/2882805