【セキュリティパッチ情報】Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027
Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027
2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-027
●プロジェクト : Dropbox Client (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Information Disclosure, Multiple vulnerabilities
==概要==
このモジュールによって、Drupalサイトのドロップボックス・ファイルを閲覧することが可能になります。
同モジュールでは、ユーザーやアドミニストレーターに表示された際に、ファイル名が十分にサニタイズされず、これがクロスサイト・スクリプティング (XSS) の脆弱性につながります。
この脆弱性は、被害者がDrupalサイトを通じて、後に閲覧するドロップボックス・フォルダに、攻撃者がファイルをアップロードできないことにより軽減されます。
さらに、Oauth認証情報がハードコーディングされ、あらわになった状態のモジュールによって、既知のモジュール・ユーザーはフィッシングおよび / またはアクセス・バイパスの問題にさらされることとなります。
アプリの機密は無効化され、これによってあらわになった機密を攻撃者は利用することができなくなります。また、これによって、新しいドロップボックス・アプリを登録するためのアップグレードおよび必要な手順をふまない限り、モジュールを使うことができなくなります。
影響を受けるバージョンは、すべてのdropbox_clientモジュール 7.x-3.xバージョンです。
Drupalのコアには影響しません。 Dropbox Clientを使用しない場合は、何もする必要はありません。
もし、Drupal7.xでのDropbox Clientモジュールを使用している場合は、dropbox_client 7.x-4.0へのアップグレードをおすすめします。
こちらのプロジェクトページ(https://www.drupal.org/project/dropbox_client)もご覧ください。
==元記事==