オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Backup and Migrate 7.x

Drupal セキュリティーチームからの連絡です(日本時間 2018/01/25(木)03:42 AM~)

今週は拡張モジュール 1 つだけですが、D7 用の Backup and Migrate です。対応する必要のあるサイトは多いと思われます。

モジュール名(重大性スコア)使用サイト数


Backup and Migrate

オンラインの原文: Backup and Migrate - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-004


概要

Backup and Migrate モジュールを利用すると、サイトの手動バックアップおよび日時を定めたバックアップの作成、そしてバックアップからのサイト復元ができる。

このモジュールでは、それ自体のカスタム権限にリスク性があるので特に信頼できる役割(ロール)にのみ権限を与えるべきだが、このモジュールはその点を十分に確認しない。

このモジュールを使用しているサイト管理者は、モジュールによって定義される権限が信頼できるユーザーにのみ与えられているか、権限(Permissions)ページの設定内容を確認するべき。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Backup and Migrate モジュールを使用している場合は Backup and Migrate 7.x-3.4 にアップデートする。