セキュリティ情報

Services single sign-on client - Critical - Cross-site scripting - SA-CONTRIB-2017-087
Critical
drupal-kanri 2017-12-06
拡張モジュール

2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-087
●プロジェクト :Services single sign-on client (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : Cross-site scripting

==概要==
このモジュールを使用すると、remort Services対応のDrupalサイトのユーザーは、資格情報を使用して2番目のサイトにログインできます。

モジュールはリクエストを表示する前に情報をサニタイズしないため、クロスサイトスクリプティングの脆弱性が発生します。

==解決方法==
最新バージョンへアップグレードすることお勧めします。

Cloud - Critical - CSRF - SA-CONTRIB-2017-086
Critical
drupal-kanri 2017-12-06
拡張モジュール

2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-086
●プロジェクト :Cloud(拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : クロスサイトリクエストフォージェリ(CSRF)

==概要==
このモジュールでは、Amazon EC2などのパブリッククラウドやOpenStackなどのプライベートクラウドをサイトで管理できます。

このモジュールは、監査レポートの削除を十分に保護していないため、権限のないユーザーが管理者を騙して監査レポートを削除する可能性のあるクロスサイトリクエスト脆弱性が存在します。

この脆弱性は、被害者が監査レポートのアクセス許可を持っている必要があるようにすることよって軽減されます。

==解決方法==
最新バージョンをインストールしてください。

Brilliant Gallery - Highly critical - Multiple Vulnerabilities - SA-CONTRIB-2017-079
Highly Critical
drupal-kanri 2017-11-20
拡張モジュール

2017/10/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-079
●プロジェクト :Brilliant Gallery (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/10/25
●セキュリティリスク : Highly Critical
●脆弱性 : Multipul Vulnerabilities

==概要==

Brilliant Galleryは、フォルダにある画像に基づく多数のギャラリーを表示させることができます。

本モジュールは多様なデータベースのクエリを十分にサニタイズをしておらず、攻撃者がリクエストを作成しSQLインジェクション攻撃をされる脆弱性があります。本モジュールは匿名のユーザーに実行されることができ、潜在的に支配される可能性があります。

【セキュリティー情報】Page Access - Unsupported - SA-CONTRIB-2017-75
Critical
drupal-kanri 2017-10-02
拡張モジュール

2017/9/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-75
●プロジェクト : Page Access (拡張モジュール)
●投稿日 :2017/9/20

==概要==
本モジュールはユーザーにビューアクセスとエディットアクセスをするオプションと各ノードページの役割を提供します。

脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。本モジュールを留置する場合は https://www.drupal.org/node/251466 を確認してください。

==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。
当拡張モジュールを使用していない場合は、何もする必要はありません。

【セキュリティー情報】Clientside Validation - Critical - Arbitary PHP Execution - DRUPAL-SA-CONTRIB-2017-072

2017-09-08
Critical
拡張モジュール

2017/9/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-072
●プロジェクト : Clientside Validation (third-party module)
●バージョン : 7.x
●投稿日 :2017/9/6
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Clientside Validationモジュールを使ってクライアント側(Javascriot)のバリデーションを自分の形式で行うことが可能になります。

このモジュールはCAPTCHAをバリデーションする時に発生したPOSTリクエストのパラメータを十分にバリデーションしません。

【セキュリティー情報】H5P - Critical - Reflected Cross Site Scripting (XSS) - DRUPAL-SA-CONTRIB-2017-071

2017-09-04
Critical
拡張モジュール

2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-071
●プロジェクト : H5P- Create and Share Rich Content and Applications(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
H5Pモジュールは、会話型ビデオ、問題集、ドラッグ&ドロップ問題式、選択式問題、ボードゲーム、プレゼン、フラッシュカードなどの様々なコンテンツを生成するのに便利です。

本モジュールは送信されたテキストをページに反映する前に十分フィルターしないため、Reflected Cross Site Scripting (XSS)の脆弱性が発生しています。

【セキュリティー情報】Commerce invoices - Highly Critical - SQL Injection and Cross Site scripting - DRUPAL-SA-CONTRIB-2017-070

2017-09-04
Highly Critical
拡張モジュール

2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-070
●プロジェクト :Commerce Invoices (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Highly Critical
●脆弱性 : Cross Site Scripting, SQL Injection

==概要==
Commerce Invoicesは、請求書番号、会社名、金額を入力することができ、顧客がDrupal commerceでサポートされている支払い方法を利用してサイト上で支払うことができる請求書を生成します。

【セキュリティー情報】Views - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-068

2017-08-29
Critical
拡張モジュール

2017年8月16日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-068
●プロジェクト : Views(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical

==概要==
ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターで表示しているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限を実施している場合、この脆弱性が軽減されます。

ビューズをディスプレイするに拡張モジュールを使用していても、全てのビューにアクセス制限を追加するのが最も良い手法です。

==影響を受けるバージョン==
7.x-3.17以下のバージョンです。

【セキュリティー情報】Views refresh - Moderately Critical - Access Bypass - DRUPAL-SA-CONTRIB-2017-069

2017-08-29
Critical
拡張モジュール

2017年8月16日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2017-069
●プロジェクト : Views Refresh(拡張モジュール)
●バージョン : 7.x, 8.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターでディスプレイしているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限が実施している場合、この脆弱性が低減されます。

ビューを表示するために拡張モジュールを使用していても、全てのビューにアクセス制限を追加するのが最も良い方法です。

==影響を受けるバージョン==
7.x-1.2以下のバージョンです。

【セキュリティー情報】Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004

2017-08-29
Critical
コア

2017年8月16日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-SA-CORE-2017-004
●プロジェクト : Drupal Core
●バージョン : 8.x
●投稿日 :2017/8/16
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
・Views - Access Bypass - Moderately Critical - Drupal 8 - CVE-2017-6923:

ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターでディスプレイしているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューズのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限が実施している場合、この脆弱性が低減されます。