【セキュリティー情報】OAuth - Critical - Access Bypass - SA-CONTRIB-2017-056

2017-07-07
Critical
拡張モジュール

2017年7月5日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-056
●プロジェクト :OAuth (拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/7/05
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
本モジュールではOAuth 認証プロトコルによるリクエストを保護できます。
認証したユーザーは掲載していないノードなどのリソースをリクエストする際に、本モジュールはキャッシュAPIにレスポンスをキャッシングすることを防ぐように十分な通知をしません。
攻撃者は当サイトのアベイラブルリソースを知る必要があることによってこの脆弱性は低減されています。

==影響を受けるバージョン==
OAuth 8.x-2.1バージョン以下の8.x-2.xの バージョンです。

Drupalコアには影響がありません。OAuth拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==。
Drupal 8.x用のOAuth拡張モジュールを使用している場合は8.x-2.1バージョンにアップグレードをお勧めします。
また、アップグレードする上に、全てのキャッシュクリアを実行させる必要があります。

より詳しい説明はhttps://www.drupal.org/project/oauth をご覧ください。

==元記事==
https://www.drupal.org/node/2892400