DRD Agent - Critical - PHP object injection - SA-CONTRIB-2018-022

2018-05-01
Critical
拡張モジュール

2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :DRD Agent
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : PHP object injection

==概要==
このモジュールは、任意の数のリモートDrupalサイトの監視と管理および中央のダッシュボードでの管理者用の有用な情報の集約を可能にします。

モジュール(DRDおよびDRDエージェント)はモジュール間で交換されるデータを暗号化しますが、それを行うために、json_encode/json_decodeの組み合わせの代わりにPHPシリアライズ/アンシリアライズ関数を使用します。
アンシリアライズ関数は承認されていないコンテンツ上で呼び出されるため、それによってPHPオブジェクトインジェクション脆弱性が取り込まれます。

==解決方法==。
最新版をインストールします。

・DRDモジュールをDrupal 8.xで使用する場合は、DRD 8.x-3.14にアップグレードしてください。
・DRD AgentモジュールをDrupal 8.xで使用する場合は、DRD Agent 8.x-3.7にアップグレードしてください。
・DRD AgentモジュールをDrupal 7.xで使用する場合は、DRD Agent 7.x-3.5にアップグレードしてください。

==元記事==
https://www.drupal.org/sa-contrib-2018-022