最新版アップデート Drupal 6.30, 7.26 のお知らせ

Submitted by druko on 木, 01/30/2014 - 01:25

2014年1月16日(日本時間:GMT+9)、複数のセキュリティ脆弱性を修正した Drupal 6.30、7.26 が公開されました。 インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性と改善点】
1. OpenID Module (重要度:Highly critical)
・対象バージョン:Drupal 6, Drupal 7
・脆弱性:悪意のあるユーザが OpenID Moduleから他サイトにログインする方法が確認され、管理者権限を操作することが可能
・改善点:OpenID に関連するアカウントと、悪意のあるユーザの関係を特定する方法を導入。
2. Taxonomy Module (重要度:Moderately critical)
・対象バージョン:Drupal 7
・脆弱性:リスト作成に用いられるTaxonomy Moduleにおいて,管理者が公開していないページやコンテンツが表示されてしまう。
3. Form API(重要度 - Not critical)
・対象バージョン:Drupal 7

DrupalCon Austin 2014の参加受付がはじまりました

Submitted by druko on 木, 01/23/2014 - 02:26

Drupal Sprint 昨年はポートランドとプラハで開催されたDrupalConが、今年はテキサス州オースティンで開催されます。 
https://austin2014.drupal.org/
4000名を超えるウェブデザイナーやデベロッパーやITビジネスパーソンが参加すると予想されており、 開催期間である6月2日〜6日の1週間を通して、多くの講演やセッションが予定されています。 これは最新バージョンであるDrupal8の理解を深める、濃密な1週間になりそうですね。 受付開始と伴って、参加費用が安くなる情報も公開されています。 4月4日までは早期割引(earlybird)がある等、 興味がある方は是非チェックしてみて下さい。

Third-party module における脆弱性が発見されました

Submitted by druko on 火, 01/21/2014 - 11:28

2014年1月16日(日本時間:GMT+9)、Third-party module において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・重要度:Moderately critical
・対象バージョン:Anonymous Posting 7.x-1.2, 7.x-1.3
・脆弱性:Third-party module を導入する際に利用出来るフォーラム機能(共有ボタン等)における脆弱性。任意のコンテンツタイプを投稿する際に、匿名ユーザーが自分自身の情報(名前、メールアドレス、ホームページ)を記入することができますが、その情報がクロスサイトスクリプティングされてしまう恐れ。
・改善点:7.x-1.4 にて改善
【最新バージョン】 Anonymous Posting 7.x-1.4
【Drupal.org による発表】

Third-party module における脆弱性が発見されました

Submitted by druko on 火, 01/14/2014 - 03:14

2014年1月8日(日本時間:GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・重要度:Moderately critical
・対象バージョン:Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン
・脆弱性1:権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。
・脆弱性2:taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)
・脆弱性3:entity_access() API が、公開されていないコメントを保護していない恐れ

Media module における脆弱性が発見されました

Submitted by druko on 日, 01/12/2014 - 09:28

2014年1月9日(日本時間:GMT+9)、Media (Third-party) module において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・ 重要度:Moderately critical -
・対象バージョン:Media module for Drupal 7.x
・脆弱性:Media module を導入することで、サーバー上の任意のディレクトリからファイルを管理者がインポートが可能。しかし Import media 権限をもつユーザであれば、同様にインポート出来てしまう危険性
・ 改善点:7.x-2.x バージョンにて サブモジュール Media Bulk Upload を無効する機能の追加
【最新バージョン】
Media module
【Drupal.org による発表】

Drupal Sprintが各国で同時開催されました

Submitted by drupal-kanri on 水, 12/18/2013 - 02:37

12月7日にセブ島でDrupal Sprintが開催され、ロンドン, インド 、チュニジアのチームも各国で同時に参加しました。 日本からもオンライン・オフライン含め合計9名の開発者が参加し、最新バージョンのDrupal8のドキュメントの日本語訳が提案されました。 会場では、どのようにDrupalドキュメントの翻訳に貢献することができるか、レクチャーも行われたそうです。 Drupalは日本語で読むことができるドキュメントが少ないので、 今後Drupal Sprintが開催される際は、ぜひ多くの日本人開発者の方にご参加いただきたいですね。 Drupal Sprint

最新版アップデート Drupal 6.29, 7.24 のお知らせ

Submitted by druko on 月, 11/25/2013 - 08:40

2013年11月20日(日本時間:GMT+9)、複数のセキュリティ脆弱性を修正した Drupal 6.29、7.24 が公開されました。 インストールしているDrupalのバージョンと導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性と改善点】
 
1. Form API validation
・対象バージョン:Drupal 6, Drupal 7
・脆弱性:クロスサイトスクリプティングを防ぐために組み込んである CSRF(cross-site request forgery) validation において、validation (承認)を誤って 省略してしまう可能性
2. Form API, OpenID, and random password generation
・対象バージョン:Drupal 6, Drupal 7
・脆弱性:Drupal core のセキュリティや、様々な Module に組み込まれている関数 mt_rand() によって生成した擬似乱数が、条件によって他ユーザーによって予測されてしまう可能性 
3. Files directory .htaccess for Apache

神奈川にてDrupalワークショップ開催

Submitted by druko on 日, 11/10/2013 - 08:24

Global Training Days Global Training Daysは、Drupalの利用者を増やすために、世界各国で有志によって同時開催される勉強会です。 日本では来る11月15日、かながわ県民センターにて実施されます。 今回実施されるHello Drupal ! コースは、3時間程度でDrupalの概要を理解できるような、初めての方向けの内容とのことです。

Drupal8の概要ページが公開されました

Submitted by druko on 木, 10/24/2013 - 08:48

Drupal.orgにて、待望の新バージョンであるDrupal8の概要を紹介するページが公開されました。 Drupal8の新機能の概要を知れるまとめページとなっており、今後もより深い情報が追加されていきます。 また、現在開発サイクルのどのあたりまで完了しているかについても随時公開していくとのことです。 この記事では、Drupal8を「これまでのバージョンで最もカスタマイズ性や柔軟性に富んだバージョンである」と紹介しています。 Drupal8
◆Drupal 8 is Coming Soon! https://drupal.org/drupal-8.0 また、Drupal8の情報に関しては、今後Drupal Naviでも日本語情報を充実させていきますので、チェックしてみてください。