2015年3月18日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalがバージョン6.x、7.xを使っているユーザーは確認のうえ、必要な場合は6.35,7.35へアップグレードをおすすめします。

●勧告ID：　DRUPAL-SA-CORE-2015-001
●プロジェクト：　Drupal core
●バージョン：　6.x, 7.x
●投稿日：　2015/3/18
●セキュリティリスク：　 Moderately Critical
●脆弱性：　Access bypass, Open Redirect, Multiple vulnerabilities

==概要==

▼Access bypass（パスワードリセットのURL - Drupal6及び7） パスワードリセットのURLは、攻撃者がアカウントのパスワードを知らなくても、別のユーザーのアカウントにアクセスするためにできるように、特定の状況下で偽造することができます。 Drupal 7において、この脆弱性は、複数のユーザーアカウントのために同じデータベースにパスワードハッシュを結果として生じる方法でインポートされたか、またはプログラムに基づいて編集されたサイトに利用されることにより軽減されます。 Drupal 6においては、管理者が管理インタフェースを経て、同じパスワードで複数の新しいユーザーアカウントを作成したか、最低1つのユーザーアカウントのための空のデータベースにパスワードハッシュを結果として生じる方法でインポートされたか、またはプログラムに基づいて編集されたサイトにさらに利用できます。 空のパスワードハッシュまたは推測できるストリングがデータベースにあるパスワードフィールドがあるDrupal6は、特にこの脆弱さの傾向があります。 これは、パスワードフィールドが固定され、無効の価値に設定されるように外部認証を使うサイトにあてはまるかもしれない。
▼Open redirect（いくつかの "destination" URLパラメータを含むベクトル - Drupal6及び7） Drupalコアおよび寄与されていたモジュールは、現在のページのアクションを完了した後に新しい宛先にユーザーをリダイレクトするために、頻繁にURLの「destination」クエリーストリングパラメータを用います。 特定の状況の下でユーザーをだまし、第三者ウェブサイトにリダイレクトさせるURLを造るために、悪意のあるユーザーはこのパラメータを使うことができます。 そして、それによってユーザーを潜在的なソーシャルエンジニアリング攻撃にさらします。 これに加えて、Drupal 6と7のいくつかのURL関連のAPI機能は、外部URLを通り抜けることができます。 この脆弱性は、「destination」パラメータの多くの共通の用途が、攻撃に影響され易くないという事実により、脆弱さは軽減されます。 しかし、Drupal7のフォームAPIを使用して構築されたすべての確認フォームはフォームの下部に表示されキャンセルアクションを経由して脆弱であり、いくつかのDrupal6の確認フォームはあまりにも脆弱です。
【影響するバージョン】
6.35以前のDrupal core 6.x 7.35以前のDrupal core 7.x
【解決方法】
Drupalの6.xを使用している場合は、Drupalのコア6.35にアップグレード。 Drupalの7.xを使用している場合は、Drupalのコア7.35にアップグレード。
==元記事==
https://www.drupal.org/SA-CORE-2015-001