オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Lightweight Directory Access Protocol (LDAP)

Drupal セキュリティーチームからの連絡です(日本時間 2017/06/01(木)1:52 AM から)

今回は拡張テーマ 1 つだけです。

モジュールとその使用サイト数(カッコ内は重大性スコア)

以下では、Lightweight Directory Access Protocol (LDAP) に関する勧告の概要をご紹介します。


Lightweight Directory Access Protocol (LDAP)

オンラインの原文: LDAP - Critical - Data Injection - SA-CONTRIB-2017-052


概要

Lightweight Directory Access Protocol (LDAP) モジュールは、ユーザーの入力データを適切にサニタイズしないことがある。その場合、ユーザーは無制限にパラメーターを変更し、データを挿入することが可能になる。

サイト管理者は、ユーザー フォーム内に E メール アドレスまたはパスワードを表示させる、または「Authorization」欄で無効にすることができる。しかし、それ以外の方法でそれらを非表示にした場合、そのデータが上書きされてしまう可能性がある。

影響を受けるバージョン

  • 7.x-2.2 よりも前の Lightweight Directory Access Protocol (LDAP) 7.x-2.x バージョン

 Drupal コアには影響なし。拡張モジュール「Lightweight Directory Access Protocol (LDAP)」を使用していない場合、何もする必要なし。

解決方法

最新バージョンをインストールする。

 Lightweight Directory Access Protocol (LDAP) プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。