DrupalCon Dublin 2016が開催されました!- 1日目-

Submitted by druko on 火, 10/04/2016 - 06:44

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』が2016年9月26日~30日までアイルランドの首都・ダブリンにて行われました。

DrupalCon Dublin 2016
flickrより)

初日は、恒例のビジネスサミットをはじめとし、コミュニテイサミット、オープニングレセプションなどが行われました。

【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004

Submitted by druko on 金, 09/23/2016 - 06:43

SA-CORE-2016-004

2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID   : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日   : 2016/9/21
●セキュリティリスク: Critical
●脆弱性   : Multiple Vulnerabilities

==概要==

【Users without "Administer comments" can set comment visibility on nodes they can edit. (Less critical)】
ノードの編集権限を持つユーザーが、ノード用のコメントに可視性をセットすることができます。
これは、管理者コメント承認を持つユーザーを制限する必要があります。

DrupalCon Dublin2016が開催されます!

Submitted by druko on 金, 09/09/2016 - 06:28

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』が2016年9月26日~30日までアイルランドの首都・ダブリンにて開催されます。

DrupalCon Dublin2016


***概要***

▼DrupalCon Dublin2016イベントページ
https://events.drupal.org/dublin2016

▼開催日
2016年9月26日(月) - 30日(金)

NBC Olympics websiteでDrupal採用

Submitted by druko on 月, 08/22/2016 - 06:07

日本でも大いに盛り上がったリオオリンピック!
このような世界規模の大きなイベントでも『Drupal』が非常に活躍しています。

【NBC Olympics website】
NBC Olympics website
http://www.nbcolympics.com/

NBCオリンピックウェブサイトでは、1週間で10億以上のストリーミングニュースが配信されています。
このように大規模なデジタル配信をするウェブサイトでは訪問者の利便性が大変重要です。
Drupalの採用でストレスのない視聴が実現できています。

いよいよ4年後は東京オリンピックです!各選手の活躍と、より多くのサイトでDrupalが採用されることが今からとても楽しみです。

【セキュリティパッチ情報】Panels - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-047

Submitted by druko on 木, 08/18/2016 - 06:04

2016年8月17日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-047
●プロジェクト : Panels (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/8/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure

==概要==
▼Panelsがアクセスをチェックしないルートの存在 (Critical) 

一定の権限を持つユーザーは、Panelsを利用してページやエンティティのレイアウト及びpanel panesを変更することができます。

【セキュリティパッチ情報】Administration Views - Critical - Access bypass - SA-CONTRIB-2016-041

Submitted by druko on 木, 08/04/2016 - 06:03

2016年8月3日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-041
●プロジェクト : Administration Views (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/8/3
●セキュリティリスク : Critical
●脆弱性 : Arbitrary Access bypass

==概要==
Administration Views moduleは、ユーザビリティ改善ため、リスティングページのオーバービューを実際のビューと代替します。
場合によって、モジュールが適正にアクセスをチェックしないことがあります。匿名ユーザが、本来アクセスできるべきでない情報を読むことができてしまう場合があります。

【セキュリティパッチ情報】Drupal Core - Highly Critical - Injection - SA-CORE-2016-003

Submitted by druko on 火, 07/19/2016 - 15:10

DRUPAL-SA-CORE-2016-003

2016年7月18日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID   : DRUPAL-SA-CORE-2016-003
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日   : 2016/7/18
●セキュリティリスク: Highly Critical
●脆弱性   : Injection

==概要==
Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。
攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。
詳細は以下のサイトを参照ください。
https://httpoxy.org/

【セキュリティパッチ情報】RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040

Submitted by druko on 水, 07/13/2016 - 15:06

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-040
●プロジェクト : RESTful Web Services (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。
RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。
この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。

これに対する緩和要素はありません。この脆弱性は、匿名ユーザーによる攻撃を受ける可能性があります。

【セキュリティパッチ情報】Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039

Submitted by druko on 水, 07/13/2016 - 15:05

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-039
●プロジェクト : Coder (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Coderモジュールは、コーディング規約やその他の最適な基準に基づいてDrupalコードをチェックします。また、コーディング規約違反を修正し、モジュールの基本的なアップグレードを実行します。
このモジュールは、PHPエクステンションを含むスクリプトファイル内のユーザーインプットに対して、十分なバリデーションを実行することができません。
認証されていない悪意あるユーザーは、このファイルに直接リクエストを送信することで、任意のPHPコードを実行できます。