セキュリティ情報

Entity Backup - Critical - Module Unsupported - SA-CONTRIB-2018-012
Critical
drupal-kanri 2018-02-22
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Entity Backup
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。

Dynamic Banner - Critical - Module Unsupported - SA-CONTRIB-2018-011
Critical
drupal-kanri 2018-02-22
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Dynamic Banner
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Dynamic Bannerモジュールは、異なるバナーを持つページで多くのブロックを作成することで、ウェブ開発者の負担を軽減します。

VChess - Critical - Module Unsupported - SA-CONTRIB-2018-009
Critical
drupal-kanri 2018-02-19
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :VChess
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Drupal VChessモジュールは、ユーザーがチェスゲームをすることができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

Sagepay - Critical - Access Bypass - SA-CONTRIB-2018-005
Critical
drupal-kanri 2018-02-01
拡張モジュール

2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass

==概要==
このモジュールは、Sagepay決済サービスを統合します。

決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。

Backup and Migrate - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-004
Critical
drupal-kanri 2018-01-25
拡張モジュール

2018/1/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Backup and Migrate
●投稿日 :2018/1/24
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
このモジュールを使用すると、マニュアルやサイトのバックアップスケジュールの作成やバックアップからサイトの復元が可能です。

このモジュールでは、カスタム権限が危険であることを十分に確認しないため高度な信頼されているロールを付与する必要があります。

サイトがこのモジュールを使用するには権限ページを見直し、モジュールに規定された権限を付与されている信頼されたユーザーのみであることを確認する必要があります。

【セキュリティー情報】Stacks - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-001

2018-01-15
Critical
拡張モジュール

●プロジェクト : Stacks
●投稿日 :2018/1/10
●セキュリティリスク : Critical
脆弱性 : Arbitrary PHP code execution

==概要==
このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。

このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。

この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。

==解決方法==。
最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。

【セキュリティー情報】Services single sign-on client - Critical - Cross-site scripting - SA-CONTRIB-2017-087

2017-12-06
Critical
拡張モジュール

2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-087
●プロジェクト :Services single sign-on client (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : Cross-site scripting

==概要==
このモジュールを使用すると、remort Services対応のDrupalサイトのユーザーは、資格情報を使用して2番目のサイトにログインできます。

モジュールはリクエストを表示する前に情報をサニタイズしないため、クロスサイトスクリプティングの脆弱性が発生します。

==解決方法==
最新バージョンへアップグレードすることお勧めします。

【セキュリティー情報】Cloud - Critical - CSRF - SA-CONTRIB-2017-086

2017-12-06
Critical
拡張モジュール

2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-086
●プロジェクト :Cloud(拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : クロスサイトリクエストフォージェリ(CSRF)

==概要==
このモジュールでは、Amazon EC2などのパブリッククラウドやOpenStackなどのプライベートクラウドをサイトで管理できます。

このモジュールは、監査レポートの削除を十分に保護していないため、権限のないユーザーが管理者を騙して監査レポートを削除する可能性のあるクロスサイトリクエスト脆弱性が存在します。

この脆弱性は、被害者が監査レポートのアクセス許可を持っている必要があるようにすることよって軽減されます。

==解決方法==
最新バージョンをインストールしてください。

【セキュリティー情報】Brilliant Gallery - Highly critical - Multiple Vulnerabilities - SA-CONTRIB-2017-079

2017-11-20
Highly Critical
拡張モジュール

2017/10/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-079
●プロジェクト :Brilliant Gallery (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/10/25
●セキュリティリスク : Highly Critical
●脆弱性 : Multipul Vulnerabilities

==概要==

Brilliant Galleryは、フォルダにある画像に基づく多数のギャラリーを表示させることができます。

本モジュールは多様なデータベースのクエリを十分にサニタイズをしておらず、攻撃者がリクエストを作成しSQLインジェクション攻撃をされる脆弱性があります。本モジュールは匿名のユーザーに実行されることができ、潜在的に支配される可能性があります。

【セキュリティー情報】Page Access - Unsupported - SA-CONTRIB-2017-75

2017-10-02
Critical
拡張モジュール

2017/9/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-75
●プロジェクト : Page Access (拡張モジュール)
●投稿日 :2017/9/20

==概要==
本モジュールはユーザーにビューアクセスとエディットアクセスをするオプションと各ノードページの役割を提供します。

脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。本モジュールを留置する場合は https://www.drupal.org/node/251466 を確認してください。

==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。
当拡張モジュールを使用していない場合は、何もする必要はありません。