セキュリティ情報

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004
Highly Critical
drupal-kanri 2018-04-26
コア

2018年4月25日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/4/25
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.xおよび8.xの複数のサブシステム内にリモートコード実行脆弱性が存在します。
この脆弱性は、攻撃者によるDrupalサイト上の複数の攻撃ベクターの悪用を許す可能性があり、その結果、サイトが不正アクセスを受けるおそれがあります。
この脆弱性は、Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002に関連しています。SA-CORE-2018-002と、この脆弱性の両方の悪用が野放しにされています。

Drupal 7 and 8 core critical release on April 25th, 2018 PSA-2018-003

2018-04-25
Critical
コア

2018年4月23日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

==概要==
2018年4月25日UTC (協定世界時) 16:00 - 18:00にDrupal 7.x、8.4.x、8.5.x のセキュリティリリースが行われる予定です。
このPSAはDrupalコアのリリースはセキュリティリリースの正規スケジュールが組まれている時間外に行われるとお知らせするためのものです。
全てのセキュリティアップデートについて言えることですが、Drupalセキュリティチームは、上記時間帯にコアのアップデートをする場合には時間の余裕をもって行うことをお勧めします。
アップデートに数時間あるいは数日かかるおそれがあるからです。セキュリティリリースはDrupal.org のセキュリティ・アドバイザリーのページに告知されます。

Display Suite - Critical - Cross site scripting (XSS) - SA-CONTRIB-2018-019

2018-04-20
Critical
拡張モジュール

2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Display Suite
●バージョン :7.x-2.14 / 7.x-1.9
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Cross site scripting (XSS)

==概要==
ディスプレイスイートは、コンテンツの表示の仕方を、ドラッグ&ドロップインターフェースを使って全面的にコントロールできるようにします。

このモジュールは、反射型クロスサイトスクリプティング (XSS) 攻撃につながるURLを通し動的に提供される閲覧モードを、十分に検証しません。
この脆弱性は、ほとんどの最新のブラウザーでURL経由の反射型XSSに対する保護対策が講じられているという事実により、軽減されています。

Menu Import and Export - Critical - Access bypass - SA-CONTRIB-2018-018

2018-04-19
Critical
拡張モジュール

2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Menu Import and Export
●バージョン :8.x-1.0
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。
このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。
この脆弱性に対する軽減策はありません。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

2018-03-29
Highly Critical
コア

2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。

セキュリティチームはこの件についてのFAQ を作成しました。

==解決方法==
Drupal 7、8コア最新版へのアップグレード

Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001

2018-03-23
Highly Critical
コア

2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical

==概要==
本文書の公開から1週間後、2018年3月28日18:30-19:30 (UTC) の間に、 Drupal 7.x 8.3.x 8.4.x および 8.5.x 向けのセキュリティリリースが行われます。これは非常に深刻なセキュリティ上の脆弱性を修正するものです。
脆弱性を突いたエクスプロイトは、数時間または数日以内に作成される可能性があるため、必ず上記の時間帯にコアアップデートの時間を取って下さい。セキュリティリリースの告知はDrupal.orgのセキュリティアドバイザリーページに掲載されます。

Exif - Critical - Access bypass - SA-CONTRIB-2018-017

2018-03-22
Critical
拡張モジュール

2018/3/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Exif
●投稿日 :2018/3/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。
このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。
この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。

CKEditor Upload Image - Critical - Access bypass - SA-CONTRIB-2018-014

2018-03-12
Critical
拡張モジュール

2018/2/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :CKEditor Upload Image
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。

Drupal core - Critical - Multiple Vulnerabilities - SA-CORE-2018-001

2018-03-05
Critical
コア

2018年2月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●バージョン : 8.4.x-dev、7.x-dev
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。

▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926:
コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。

コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。

Entity Backup - Critical - Module Unsupported - SA-CONTRIB-2018-012

2018-02-22
Critical
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Entity Backup
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。