セキュリティ情報

Menu Import and Export - Critical - Access bypass - SA-CONTRIB-2018-018

2018-04-19
Critical
拡張モジュール

2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Menu Import and Export
●バージョン :8.x-1.0
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。
このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。
この脆弱性に対する軽減策はありません。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

2018-03-29
Highly Critical
コア

2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。

セキュリティチームはこの件についてのFAQ を作成しました。

==解決方法==
Drupal 7、8コア最新版へのアップグレード

Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001

2018-03-23
Highly Critical
コア

2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical

==概要==
本文書の公開から1週間後、2018年3月28日18:30-19:30 (UTC) の間に、 Drupal 7.x 8.3.x 8.4.x および 8.5.x 向けのセキュリティリリースが行われます。これは非常に深刻なセキュリティ上の脆弱性を修正するものです。
脆弱性を突いたエクスプロイトは、数時間または数日以内に作成される可能性があるため、必ず上記の時間帯にコアアップデートの時間を取って下さい。セキュリティリリースの告知はDrupal.orgのセキュリティアドバイザリーページに掲載されます。

Exif - Critical - Access bypass - SA-CONTRIB-2018-017

2018-03-22
Critical
拡張モジュール

2018/3/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Exif
●投稿日 :2018/3/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。
このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。
この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。

CKEditor Upload Image - Critical - Access bypass - SA-CONTRIB-2018-014

2018-03-12
Critical
拡張モジュール

2018/2/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :CKEditor Upload Image
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。

Drupal core - Critical - Multiple Vulnerabilities - SA-CORE-2018-001

2018-03-05
Critical
コア

2018年2月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●バージョン : 8.4.x-dev、7.x-dev
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。

▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926:
コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。

コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。

Entity Backup - Critical - Module Unsupported - SA-CONTRIB-2018-012

2018-02-22
Critical
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Entity Backup
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。

Dynamic Banner - Critical - Module Unsupported - SA-CONTRIB-2018-011

2018-02-22
Critical
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Dynamic Banner
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Dynamic Bannerモジュールは、異なるバナーを持つページで多くのブロックを作成することで、ウェブ開発者の負担を軽減します。

VChess - Critical - Module Unsupported - SA-CONTRIB-2018-009

2018-02-19
Critical
拡張モジュール

2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :VChess
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported

==概要==
Drupal VChessモジュールは、ユーザーがチェスゲームをすることができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

Sagepay - Critical - Access Bypass - SA-CONTRIB-2018-005

2018-02-01
Critical
拡張モジュール

2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass

==概要==
このモジュールは、Sagepay決済サービスを統合します。

決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。