PHP Configuration - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-055
Critical
拡張モジュール
2018/8/8(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :PHP Configuration
●投稿日 :2018/8/8
●セキュリティリスク : 17∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:All
●脆弱性 : 任意のPHPコード実行
==概要==
このモジュールを使用すると、Drupal WebサイトのPHP設定で、追加または上書きが可能です。
モジュールは、設定を行うため必要なアクセス権が必要です。でなければ、攻撃者によりPHP設定の実行につながります。
この脆弱性は、攻撃者が "phpconfigを管理"する権限を持っている必要があり、そうすることによって外部からの攻撃を軽減します。
モジュールを更新した後、ウェブサイトのアクセス許可を確認することが重要です。また、「phpconfigの管理」権限が完全に信頼されていないユーザーの役割に与えられた場合は、取り消すことをお勧めします。
==解決方法==
最新バージョンをインストールしてください。
・Drupal 7.x用のPHP設定モジュールを使用している場合は、PHP設定 7.x-1.1にアップグレードしてください
・Drupal 8.x用のPHP設定モジュールを使用する場合は、PHP設定 8.x-1.1にアップグレードしてください
PHP設定のプロジェクトページも参照してください。