セキュリティ情報

TB Nucleus - Critical - Unsupported - SA-CONTRIB-2018-031

2018-05-25
Critical
拡張モジュール

2018/5/23(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :TB Nucleus

●投稿日 :2018/5/23

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported

SimpleCrop - Critical - Unsupported - SA-CONTRIB-2018-030

2018-05-25
Critical
拡張モジュール

2018/5/23(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :SimpleCrop

●投稿日 :2018/5/23

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported

Baidu Analytics - Critical - Unsupported - SA-CONTRIB-2018-029

2018-05-25
Critical
拡張モジュール

2018/5/23(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Baidu Analytics

●投稿日 :2018/5/23

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported

Protected Pages - Critical - Unsupported - SA-CONTRIB-2018-028

2018-05-25
Critical
拡張モジュール

2018/5/23(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Protected Pages

●投稿日 :2018/5/23

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported

SVG Formatter - Critical - Cross Site Scripting - SA-CONTRIB-2018-027

2018-05-16
Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト : SVG Formatter
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
このモジュールはファイルフィールドの新しいフォーマットを追加し、ファイル拡張子をアップロードすることができます。
シナリオにアップロードされたSVGファイルの下で、モジュールが十分にサニタイズしません。
この脆弱性は、攻撃者がSVGファイルのアップロードを許可する特定のコンテンツタイプの作成または編集の権限を持つロールを持っていなければならないという事実によって軽減されます。

==解決方法==。
最新バージョンをインストールします。

Scrollable Content - Critical - Unsupported - SA-CONTRIB-2018-026

2018-05-16
Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Scrollable Content

●投稿日 :2018/5/9

●セキュリティリスク : Critical

●脆弱性 : Unsupported

==概要==
スクロール可能なコンテンツは、コンテンツのスクロール機能を提供します。スクロール可能なコンテンツは、サイトのノードのコンテンツスライダープレビューを提供し、いくつかの表示オプションを提供します。

Simple Taxonomy Revision - Critical - Unsupported - SA-CONTRIB-2018-025

2018-05-16
Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Simple Taxonomy Revision
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Unsupported Module

==概要==
Simple Taxonomy Revision モジュールはDrupal8のための分類用語の修正を可能にします。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

KCFinder integration - Critical - Unsupported Module - SA-CONTRIB-2018-024

2018-05-16
Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :KCFinder integration
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Unsupported Module

==概要==
KCFinder は他言語ファイル・イメージマネージャーで選択、挿入、アップロードそして写真のアレンジを簡易化することができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

Multi-Step Registration - Critical - Unsupported Module - SA-CONTRIB-2018-023

2018-05-16
Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Multi-Step Registration
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Unsupported Module

==概要==
Multi-Stepに登録することで、multi-step (wizard) のユーザーアカウントを作成ができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

DRD Agent - Critical - PHP object injection - SA-CONTRIB-2018-022

2018-05-01
Critical
拡張モジュール

2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :DRD Agent
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : PHP object injection

==概要==
このモジュールは、任意の数のリモートDrupalサイトの監視と管理および中央のダッシュボードでの管理者用の有用な情報の集約を可能にします。

モジュール(DRDおよびDRDエージェント)はモジュール間で交換されるデータを暗号化しますが、それを行うために、json_encode/json_decodeの組み合わせの代わりにPHPシリアライズ/アンシリアライズ関数を使用します。
アンシリアライズ関数は承認されていないコンテンツ上で呼び出されるため、それによってPHPオブジェクトインジェクション脆弱性が取り込まれます。