【セキュリティパッチ情報】AES - Critical - Unsupported - SA-CONTRIB-2017-027
2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-027
●プロジェクト : AES encryption (拡張モジュール)
●バージョン : 7.x 8.x
●投稿日 :2017/3/1
==概要==
このモジュールは他のモジュールがAES暗号化アルゴリズムを用いてデータを暗号化/復号化することを可能にするAPIを提供します。
このモジュールは暗号化データの安全性に関する要求を満たしません。このモジュールを用いて暗号化されたデータへアクセスする攻撃者は通常よりも容易に復号化が出来ます。
脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。
本モジュールを留置する場合はhttps://www.drupal.org/node/251466 を確認してください。
認証された、安全性のあるAES暗号化モジュールへ移行する方法には下記の解決方法の部分をご覧ください。
==影響を受けるバージョン==
AES モジュールの全てのバージョンです。
Drupalコアには影響がありません。AES encryption拡張モジュールを使用していない場合は、何もする必要はありません。
==解決方法==
もしDrupal リモートダッシュボード (DRD)およびDrupal リモートダッシュボードサーバー (DRDセーバー) が依拠しているという理由だけでAESのみを使用しているのであれば、最新バージョンのDRDまたはDRDサーバーにアップデートし、AESモジュールを無効にしてください – これらのモジュールはもはやAESには依拠しません。
それ以外は、AESモジュールをReal AESモジュールに置き換えてください:
・もしここ最近バックアップをしていないのであれば、あなたのサイトのデータベースおよびコードベースのバックアップを取ってください。バックアップの際中いくつかの機能は正しく動作しないものがありますので、あなたのサイトをオフラインとする(たとえばDrupalのメンテナンスモードを用いて)ことを検討してください。
・AESを削除するのに、通常のアンインストールでは行わないでください。通常のアンインストールのプロセスで削除するとあなたの暗号鍵も一緒に削除してしまうため、データを回復することが出来なくなります! そうではなく、モジュールを無効化し、モジュールをアンインストールせずにAESモジュールディレクトリを削除してください。
・Real AESの最新のリリースをダウンロードし抽出してください。
・Key(鍵)の最新のリリースをダウンロードし抽出してください。
・Real AESおよびKey、AES互換性モジュールを有効にしてください。
・Keyモジュールを用いて、“Real AES Key”という名称を持った新しい128ビットの暗号化キーを作ってください。
・すべてのDrupalキャッシュを消去してください。
・AESに依拠し暗号化データを保存するモジュールはこれまでどおり正常に機能します。それらはすべての保存されたデータを復号および再暗号化するはずです。Real AESモジュールはあなたの古いキーを復号化することが出来るAESモジュールからのいくつかの機能(たとえばaes_encrypt()やaes_decrypt())を提供しますが、新しいキーおよびより正しいAES暗号化を用いて再暗号化します。
より詳しい説明は https://www.drupal.org/project/aes をご覧ください。