セキュリティ情報

【セキュリティー情報】Page Access - Unsupported - SA-CONTRIB-2017-75
Critical
drupal-kanri 2017-10-02
拡張モジュール

2017/9/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-75
●プロジェクト : Page Access (拡張モジュール)
●投稿日 :2017/9/20

==概要==
本モジュールはユーザーにビューアクセスとエディットアクセスをするオプションと各ノードページの役割を提供します。

脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。本モジュールを留置する場合は https://www.drupal.org/node/251466 を確認してください。

==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。
当拡張モジュールを使用していない場合は、何もする必要はありません。

【セキュリティー情報】Clientside Validation - Critical - Arbitary PHP Execution - DRUPAL-SA-CONTRIB-2017-072

2017-09-08
Critical
拡張モジュール

2017/9/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-072
●プロジェクト : Clientside Validation (third-party module)
●バージョン : 7.x
●投稿日 :2017/9/6
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Clientside Validationモジュールを使ってクライアント側(Javascriot)のバリデーションを自分の形式で行うことが可能になります。

このモジュールはCAPTCHAをバリデーションする時に発生したPOSTリクエストのパラメータを十分にバリデーションしません。

【セキュリティー情報】H5P - Critical - Reflected Cross Site Scripting (XSS) - DRUPAL-SA-CONTRIB-2017-071

2017-09-04
Critical
拡張モジュール

2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-071
●プロジェクト : H5P- Create and Share Rich Content and Applications(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
H5Pモジュールは、会話型ビデオ、問題集、ドラッグ&ドロップ問題式、選択式問題、ボードゲーム、プレゼン、フラッシュカードなどの様々なコンテンツを生成するのに便利です。

本モジュールは送信されたテキストをページに反映する前に十分フィルターしないため、Reflected Cross Site Scripting (XSS)の脆弱性が発生しています。

【セキュリティー情報】Commerce invoices - Highly Critical - SQL Injection and Cross Site scripting - DRUPAL-SA-CONTRIB-2017-070

2017-09-04
Highly Critical
拡張モジュール

2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-070
●プロジェクト :Commerce Invoices (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Highly Critical
●脆弱性 : Cross Site Scripting, SQL Injection

==概要==
Commerce Invoicesは、請求書番号、会社名、金額を入力することができ、顧客がDrupal commerceでサポートされている支払い方法を利用してサイト上で支払うことができる請求書を生成します。

【セキュリティー情報】Views - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-068

2017-08-29
Critical
拡張モジュール

2017年8月16日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-068
●プロジェクト : Views(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical

==概要==
ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターで表示しているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限を実施している場合、この脆弱性が軽減されます。

ビューズをディスプレイするに拡張モジュールを使用していても、全てのビューにアクセス制限を追加するのが最も良い手法です。

==影響を受けるバージョン==
7.x-3.17以下のバージョンです。

【セキュリティー情報】Views refresh - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-069

2017-08-29
Critical
拡張モジュール

2017年8月16日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-069
●プロジェクト : Views Refresh(拡張モジュール)
●バージョン : 7.x, 8.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターでディスプレイしているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限が実施している場合、この脆弱性が低減されます。

ビューを表示するために拡張モジュールを使用していても、全てのビューにアクセス制限を追加するのが最も良い方法です。

==影響を受けるバージョン==
7.x-1.2以下のバージョンです。

【セキュリティー情報】Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004

2017-08-29
Critical
コア

2017年8月16日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CORE-2017-004
●プロジェクト : Drupal Core
●バージョン : 8.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
・Views - Access Bypass - Moderately Critical - Drupal 8 - CVE-2017-6923:

ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターでディスプレイしているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューズのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限が実施している場合、この脆弱性が低減されます。

【セキュリティー情報】Session Cache API - Critical - Multiple vulnerabilities - DRUPAL-SA-CONTRIB-2017-065

2017-08-17
Critical
拡張モジュール

2017年8月9日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-065
●プロジェクト : Session Cache API (拡張モジュール)
●バージョン : 7.x, 8.x
●投稿日 :2017/8/9
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
本モジュールのシリアライゼーションへの対応は安全ではありません。

==影響を受けるバージョン==
Session Cache APIの 7.x-1.4のバージョンです。

Drupalコアには影響がありません。
Session Cache API拡張モジュールを使用していない場合は、何もする必要はありません。

【セキュリティー情報】Better field descriptions - Critical - XSS - SA-CONTRIB-2017-064

2017-08-17
Critical
拡張モジュール

2017年8月9日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-064
●プロジェクト : Better field descriptions (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/9
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
Better field descriptionsモジュールはフォームのフィールドにおいてテーマ化できる記述追加を可能にします。

本モジュールは当記述を十分サニタイズしません。
攻撃者は“add better descriptions to fields“の権限がある役割を持つことよってこの脆弱性は軽減されます。

==影響を受けるバージョン==
Better field descriptionsの7.x-1.1以下の7.x-1.xのバージョンです。

【セキュリティー情報】Unsupported・SA-CONTRIB-2017-059・060・061・062

2017-08-04
Critical
拡張モジュール

2017/8/2(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-59
●プロジェクト :  html_title(拡張モジュール)
●投稿日 :2017/8/2

●勧告ID :DRUPAL-SA-CONTRIB-2017-60
●プロジェクト :  baidu_analytics(拡張モジュール)
●投稿日 :2017/8/2

●勧告ID :DRUPAL-SA-CONTRIB-2017-61
●プロジェクト :  ajax_facets(拡張モジュール)
●投稿日 :2017/8/2

●勧告ID :DRUPAL-SA-CONTRIB-2017-62
●プロジェクト :  services_views(拡張モジュール)
●投稿日 :2017/8/2