【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003

Critical
コア

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2015-003 2015年8月19日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID: DRUPAL-SA-CONTRIB-2015-138 
●プロジェクト: Drupal core
●バージョン : 6.x, 7.x
●投稿日: 2015/8/19
●セキュリティリスク: Critical
●脆弱性: Cross Site Scripting, Access bypass, SQL Injection, Open Redirect, Multiple vulnerabilities

==概要==
【Cross-site Scripting - Ajax system - Drupal 7】 この脆弱性により、悪意のあるユーザーがホワイトリストHTML要素にDrupal.ajax()を呼び出すことにより、クロスサイトスクリプティング攻撃を実行することを可能にすることが判明しました。 この脆弱性は、信頼できないユーザーがサイト上でHTMLを入力することを許可しないことによって軽減されます。 Drupalの6コアは影響を受けませんが、Drupal6Ctoolsモジュール貢献の為に同様の勧告を参照してください。(https://www.drupal.org/node/2554145) 【Cross-site Scripting - Autocomplete system - Drupal 6 and 7】 クロスサイトスクリプティングの脆弱性がフォームのオートコンプリート機能で発見されました。要求されたURLが十分にサニタイズされていません。 この脆弱性は、悪意のあるユーザーがファイルをアップロードすることが許可されている必要があることによって軽減されます。 【SQL Injection - Database API - Drupal 7】 脆弱性は、SQLコメントフィルタリングシステムで発見され、高い権限を持つユーザーがSQLコメントに悪質なコードを挿入する可能性があります。 この脆弱性は、脆弱性を誘発するような方法でコメントフィルタリングシステムを使用している拡張モジュールはセキュリティチームによりひとつしか見つかっていないという事実によって軽減されます。 そのモジュールは、攻撃を実行するために、アクセスの非常に高いレベルを持っている必要があります。 【Cross-site Request Forgery - Form API - Drupal 6 and 7】 この脆弱性はDrupalのform APIで発見され、フォームトークンバリデーションが早期に実行されていないことが原因でファイルアップロードバリューコールバックが信頼できない入力値で実行される可能性があります。 この脆弱性は、悪意のあるユーザーが他のユーザーのアカウントでサイトにファイルをアップロードする可能性があります。 この脆弱性は、アップロードされたファイルは一時的なものであり、通常6時間後に自動的に一時ファイルを削除していることによって軽減されます。 【Information Disclosure in Menu Links - Access system - Drupal 6 and 7】 「アクセスコンテンツ」権限のないユーザーは、ユーザーがアクセスするサイトのメニューに追加されている場合、アクセス権を持たないノードのタイトルを見ることができます。 もしDrupal 6.xを使用している場合には、Drupal core 6.37へのアップグレードをおすすめします。 もしDrupal 7.xを使用している場合には、Drupal core 7.39へのアップグレードをおすすめします。
==元記事==
https://www.drupal.org/SA-CORE-2015-003