【セキュリティパッチ情報】SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities

Critical
コア

SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities 2014年7月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-SA-CORE-2014-003
●プロジェクト: Drupal core
●バージョン: 6.x,7.x
●投稿日: 2014/07/16
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Multiple vulnerabilities

==概要==

▼Denial of service with malicious HTTP Host header (Base system - Drupal 6 and 7 - Critical) 悪質なHTTPホストヘッダーを持つサービスの拒否機能について複数の脆弱性はDrupalコアの6.x、7.xで修正されました。 Drupalコアのマルチサイト機能では、動的にHTTPホストヘッダーに基づいて、使用するコンフィギュレーションファイルを決定します。 このHTTPホストヘッダーの検証は、悪意を持って作られたヘッダーのチェックを十分に行いません。 そのため、この脆弱性は実際にマルチサイト機能を使用しないサイトに影響を与えてしまいます。
▼Access bypass (File module - Drupal 7 - Critical) Drupal7コアに含まれるファイル・モジュールは、コンテンツにファイルを添付する機能を追加します。 このモジュールは、以前にアップロードされたファイルを添付する際に、その添付されたファイルを閲覧するための必要なアクセス許可があるか どうかのチェックを十分に行ないません。 これにより、攻撃者によるプライベートファイルへのアクセスを許してしまう可能性があります。 この脆弱性は、攻撃者にはファイル・フィールドでコンテンツを作成または編集する許可がなければならないということによって緩和されます。
▼Cross-site scripting (Form API option groups - Drupal 6 and 7 - Moderately critical) form API の selected elements 内のオプショングループラベルにおいて,スクリプトをサニタイジングできないことによって発生する,クロス サイトスクリプトに関する脆弱性が発見されました. この脆弱性はDrupal6コアに直接影響し、対応するモジュールやカスタムモジュールによるDrupal7のフォームにおいても影響がある可能性があり ます。 この脆弱性は、Drupal6コア内で"administer taxonomy"へのアクセス許可を必要とすることにより緩和されます。 Drupal7コアには悪用されたという報告はありません。
▼Cross-site scripting (Ajax system - Drupal 7 - Moderately critical) Ajaxのテキストフィールド(オートコンプリートフィールドなど)とファイルのフィールドの組み合わせを含むフォームにおいて,クロスサイトス クリプトに関する脆弱性が発見されました. この脆弱性は、攻撃者が限られた条件下のみでしかカスタムモジュール、コントリビュートモジュールへの攻撃ができないということにより軽減 されます。
==元記事==
https://www.drupal.org/SA-CORE-2014-003