【セキュリティパッチ情報】Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038

Submitted by druko on 水, 07/13/2016 - 15:04

2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-038
●プロジェクト : Webform Multiple File Upload (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。
これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。
実行されるコードは、サイト上で利用可能なライブラリに依存します。

【セキュリティパッチ情報】Drupal contrib - Highly Critical - Remote code execution PSA-2016-001

Submitted by druko on 水, 07/13/2016 - 15:03

2016年7月12日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-PSA-2016-001
●プロジェクト : Drupal contributed modules (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/12
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
2016年7月13日(水)16:00時(UTC)に、Drupal拡張モジュールが複数リリースされます。
これは、大変重大なリモートコード実行の脆弱性(リスクスコア:22/25)の修正を行うものです。
これらの拡張モジュールは1000~1万箇所で使用されています。脆弱性は数時間/数日の間に進展すると思われるため、Drupalセキュリティチームでは、モジュール更新のための時間を確保することをお勧めします。
リリースの発表は、標準の告知場所でなされます。

【セキュリティパッチ情報】Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

Submitted by druko on 月, 06/27/2016 - 14:59

Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-029
●プロジェクト : Views Megarow (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure

==概要==

【セキュリティパッチ情報】Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027

Submitted by druko on 月, 06/27/2016 - 14:57

Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027

2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-027
●プロジェクト : Dropbox Client (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Information Disclosure, Multiple vulnerabilities

==概要==

このモジュールによって、Drupalサイトのドロップボックス・ファイルを閲覧することが可能になります。

【セキュリティパッチ情報】REST JSON - Multiple Vulnerabilities - Highly Critical - Unsupported - SA-CONTRIB-2016-033

Submitted by druko on 日, 06/26/2016 - 15:02

2016年6月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-033
●プロジェクト : REST/JSON (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/6/8
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure, Multiple vulnerabilities

==概要==
REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。
しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。

DrupalCon New Orleans 2016が始まりました!- 後半-

Submitted by druko on 火, 06/21/2016 - 04:13

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』の後半が行われました。
2016年5月11日~14日のを様子をまとめてお届けします。

【主なラインナップ】
▼Keynote: Sara Wachter-Boettcher
https://events.drupal.org/neworleans2016/keynote-sara-wachter-boettcher

DrupalCon New Orleans 2016が始まりました!- 初日 -

Submitted by druko on 火, 05/17/2016 - 07:32

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』が2016年5月9日~13日までアメリカのニューオーリンズにて行われています。
Drupal8の正式リリース後初となる今回のDrupalConではそのビジョンや可能性などがより注目されています。

DrupalCon New Orleans 2016
flickrより)

初日は、恒例のビジネスサミットをはじめとした各サミット、スプリント、トレーニング、オープニングレセプションなどが行われました。

【セキュリティパッチ情報】EPSA CROP - IMAGE CROPPING - CRITICAL - XSS - SA - CONTRIB - 2016 - 024 - UNSUPPORTED

Submitted by druko on 月, 05/09/2016 - 07:25

EPSA Crop - Image Cropping - Critical -XSS - SA-CONTRIB-2016-024 - Unsupported

2016年4月20日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-024
●プロジェクト : EPSA Crop - Image Cropping (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/4/20
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Cross Site Request Forgery

==概要==

EPSA Cropは、ユーザーが画像上の初期設定とは異なる座標を選択することができるモジュールです。
ユーザーが組み合わせを設定した場合、EPSA Cropのイメージキャッシュを上書きし、新たな組み合わせを設定することがでます。

【セキュリティパッチ情報】LOGIN ONE TIME - CRITICAL - CROSS SITE SCRIPTING(XSS) - SA - CONTRIB - 2016 - 017

Submitted by druko on 金, 05/06/2016 - 07:24

Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017

2016年3月23日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-017
●プロジェクト : Scald File Provider (拡張モジュール)
●バージョン : 6.x  ,  7.x
●投稿日 : 2016/3/23
●セキュリティリスク : Critical
●脆弱性 : Cross site Scripting

==概要==

Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。
このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。

影響を受けるバージョンは、7.x-2.10より前のバージョン。