オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:me aliases、Link Click Count、Directory based organisational layer、ComScore direct tag

Drupal セキュリティーチームからの連絡です(日本時間 2017/12/21(木)04:18 AM~)

今週は拡張モジュールが 4 つです。そのうち唯一、使用サイト数が 6,000 を超えている me aliases の情報だけ訳しました。他のモジュールについてはそれぞれの原文をご覧ください。

モジュール名(重大性スコア)使用サイト数


me aliases

オンラインの原文: me aliases - Highly critical - Arbitrary code execution - SA-CONTRIB-2017-097


概要

「me」モジュールは、user/me、blog/me、user/me/edit、tracker/me などといった具合に現在のユーザーのページへのショートカット パスを作ってくれる。

このモジュールは URL 引数の扱い方が不適切なため、攻撃者が任意のコードを実行できてしまう。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の me aliases モジュールを使用している場合は me aliases 7.x-1.3 にアップデートする。