PHP Configuration - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-055

Critical
拡張モジュール

2018/8/8(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :PHP Configuration

●投稿日 :2018/8/8

●セキュリティリスク : 17∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:All

●脆弱性 : 任意のPHPコード実行

==概要==
このモジュールを使用すると、Drupal WebサイトのPHP設定で、追加または上書きが可能です。

モジュールは、設定を行うため必要なアクセス権が必要です。でなければ、攻撃者によりPHP設定の実行につながります。
この脆弱性は、攻撃者が "phpconfigを管理"する権限を持っている必要があり、そうすることによって外部からの攻撃を軽減します。

モジュールを更新した後、ウェブサイトのアクセス許可を確認することが重要です。また、「phpconfigの管理」権限が完全に信頼されていないユーザーの役割に与えられた場合は、取り消すことをお勧めします。

==解決方法==

最新バージョンをインストールしてください。

・Drupal 7.x用のPHP設定モジュールを使用している場合は、PHP設定 7.x-1.1にアップグレードしてください

・Drupal 8.x用のPHP設定モジュールを使用する場合は、PHP設定 8.x-1.1にアップグレードしてください

PHP設定のプロジェクトページも参照してください。

==報告者==

Balazs Janos Tatar

==元記事==

https://www.drupal.org/sa-contrib-2018-052