Services - Critical - SQL Injection - SA-CONTRIB-2019-026

2019-03-07
Critical
拡張モジュール

2019/2/27(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Services
●バージョン :7.x-3.x-dev
●投稿日 :2019/2/27
●セキュリティリスク : Critical
●脆弱性 : SQL Injection

==概要==
このモジュールは、外部クライアントがDrupalと通信できるようにAPIを構築するための標準化されたソリューションを提供します。

このモジュールは、エンティティ・インデックス・リソースへのユーザーからの入力を十分にサニタイズしないため、SQLインジェクション攻撃が可能です。

この脆弱性は、Drupal 7サイトのサービスのエンドポイントの設定(admin / structure / services / list / MY-ENDPOINT / resources)で「インデックス」リソースが有効にされなくてはならないことと、攻撃者がエンドポイントのマシン名を知っていなくてはならないことによって軽減されます。

修正のために7.x-3.22バージョンのServicesモジュールをインストールしないと、「インデックス」リソースの攻撃経路妨害が無効になります。

==解決方法==。
最新版をインストールしてください。

Drupalで7.x-3.22 Servicesモジュールを使用している場合は、Services 7.x-3.22にアップグレードしてください。

==元記事==
https://www.drupal.org/sa-contrib-2019-026