【セキュリティパッチ情報】Drupal Core - Highly Critical - Injection - SA-CORE-2016-003

Submitted by druko on 火, 07/19/2016 - 15:10

DRUPAL-SA-CORE-2016-003

2016年7月18日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID   : DRUPAL-SA-CORE-2016-003
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日   : 2016/7/18
●セキュリティリスク: Highly Critical
●脆弱性   : Injection

==概要==
Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。
攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。
詳細は以下のサイトを参照ください。
https://httpoxy.org/

【セキュリティパッチ情報】RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040

Submitted by druko on 水, 07/13/2016 - 15:06

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-040
●プロジェクト : RESTful Web Services (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。
RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。
この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。

これに対する緩和要素はありません。この脆弱性は、匿名ユーザーによる攻撃を受ける可能性があります。

【セキュリティパッチ情報】Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039

Submitted by druko on 水, 07/13/2016 - 15:05

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-039
●プロジェクト : Coder (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Coderモジュールは、コーディング規約やその他の最適な基準に基づいてDrupalコードをチェックします。また、コーディング規約違反を修正し、モジュールの基本的なアップグレードを実行します。
このモジュールは、PHPエクステンションを含むスクリプトファイル内のユーザーインプットに対して、十分なバリデーションを実行することができません。
認証されていない悪意あるユーザーは、このファイルに直接リクエストを送信することで、任意のPHPコードを実行できます。

【セキュリティパッチ情報】Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038

Submitted by druko on 水, 07/13/2016 - 15:04

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-038
●プロジェクト : Webform Multiple File Upload (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。
これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。
実行されるコードは、サイト上で利用可能なライブラリに依存します。

【セキュリティパッチ情報】Drupal contrib - Highly Critical - Remote code execution PSA-2016-001

Submitted by druko on 水, 07/13/2016 - 15:03

2016年7月12日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-PSA-2016-001
●プロジェクト : Drupal contributed modules (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/12
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
2016年7月13日(水)16:00時(UTC)に、Drupal拡張モジュールが複数リリースされます。
これは、大変重大なリモートコード実行の脆弱性(リスクスコア:22/25)の修正を行うものです。
これらの拡張モジュールは1000~1万箇所で使用されています。脆弱性は数時間/数日の間に進展すると思われるため、Drupalセキュリティチームでは、モジュール更新のための時間を確保することをお勧めします。
リリースの発表は、標準の告知場所でなされます。

【セキュリティパッチ情報】Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

Submitted by druko on 月, 06/27/2016 - 14:59

Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-029
●プロジェクト : Views Megarow (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure

==概要==

【セキュリティパッチ情報】Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027

Submitted by druko on 月, 06/27/2016 - 14:57

Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027

2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-027
●プロジェクト : Dropbox Client (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Information Disclosure, Multiple vulnerabilities

==概要==

このモジュールによって、Drupalサイトのドロップボックス・ファイルを閲覧することが可能になります。

【セキュリティパッチ情報】REST JSON - Multiple Vulnerabilities - Highly Critical - Unsupported - SA-CONTRIB-2016-033

Submitted by druko on 日, 06/26/2016 - 15:02

2016年6月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-033
●プロジェクト : REST/JSON (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/6/8
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure, Multiple vulnerabilities

==概要==
REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。
しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。

DrupalCon New Orleans 2016が始まりました!- 後半-

Submitted by druko on 火, 06/21/2016 - 04:13

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』の後半が行われました。
2016年5月11日~14日のを様子をまとめてお届けします。

【主なラインナップ】
▼Keynote: Sara Wachter-Boettcher
https://events.drupal.org/neworleans2016/keynote-sara-wachter-boettcher