【セキュリティパッチ情報】Mailjet - Highly critical - Arbitrary PHP code execution - SA-CONTRIB-2017-005

Highly Critical
拡張モジュール

2017年1月11日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-005
●プロジェクト : (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/11
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Mailjetモジュールは、拡張システムと一体化して、ニュースレターやシステムの通知などのサイトから発行されるEメールを送ります。

Mailjetモジュールの「includes」ディレクトリにはPHPメーラーライブラリのバージョン v.5.2.8 が同梱されています。PSA-2016-004によると、このバージョンのPHPメーラーライブラリはPHPコードの実行に対して脆弱性がありました。


Drupal.org の規約により、拡張コードはdrupal.orgの保管庫に貯蔵されません(https://www.drupal.org/node/422996)。


このモジュールのアップデートには、同梱されているREADME.txtに書かれている手順でPHPメーラーライブラリを手動で置き換える必要があります。

==影響を受けるバージョン==
バージョン7.x-2.9.以前のMailjet 7.x-2.xバージョンです。
Drupalコアには影響がありません。Mailjetモジュールを使用していない場合は、何もする必要はありません。

==解決方法==
Drupal 7.x,のMailjetモジュールを使用している場合はバージョンをMailjet7.x-2.9にアップグレードしてください。
https://www.drupal.org/project/mailjet/releases/7.x-2.9

==元記事==
https://www.drupal.org/node/2842760