Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015

2016年3月9日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-015
●プロジェクト：　Scald File Provider (拡張モジュール)
●バージョン　：　7.x
●投稿日　　　：　2016/3/9
●セキュリティリスク：　Critical
●脆弱性　　　：　Arbitrary PHP code execution

==概要==
PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。

これにより、Scaldへのファイルのアップロードに必要な許可を取得する必要性、さらにはサーバーに少なくともひとつのサムネイル作成ツール (pdfdraw、convert、またはmudraw) がインストールされている必要性により軽減されます。
また、アップロード・ファイルに変換モジュールを使うことで、部分的にそれを軽減することも可能です。

影響を受けるバージョンはScald Fileモジュール全てのバージョンです。

Drupalのコアには影響しません。 Scald File Providerを使用しない場合は、何もする必要はありません。

もし、Drupalの7.xでScald Fileモジュールを使用している場合には、Scald File 7.x-1.3へのアップグレードをおすすめします。
こちらのプロジェクトページ（https://www.drupal.org/project/scald_file）もご覧ください。

==元記事==

https://www.drupal.org/node/2679541