DrupalCon New Orleans 2016の二日目は、Drupal8の正式リリース後、初のDries noteです。
Drupal8の普及状況などをはじめ、新機能開発についてのお話しがありました。

（flickrより）

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』が2016年5月9日～13日までアメリカのニューオーリンズにて行われています。
Drupal8の正式リリース後初となる今回のDrupalConではそのビジョンや可能性などがより注目されています。

（flickrより）

初日は、恒例のビジネスサミットをはじめとした各サミット、スプリント、トレーニング、オープニングレセプションなどが行われました。

EPSA Crop - Image Cropping - Critical -XSS - SA-CONTRIB-2016-024 - Unsupported

2016年4月20日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-024
●プロジェクト　： EPSA Crop - Image Cropping (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2016/4/20
●セキュリティリスク　： Critical
●脆弱性　： Cross Site Scripting, Cross Site Request Forgery

==概要==

EPSA Cropは、ユーザーが画像上の初期設定とは異なる座標を選択することができるモジュールです。
ユーザーが組み合わせを設定した場合、EPSA Cropのイメージキャッシュを上書きし、新たな組み合わせを設定することがでます。

Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017

2016年3月23日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：　DRUPAL-SA-CONTRIB-2016-017
●プロジェクト　：　Scald File Provider (拡張モジュール)
●バージョン　：　6.x  ,  7.x
●投稿日　：　2016/3/23
●セキュリティリスク　：　Critical
●脆弱性　：　Cross site Scripting

==概要==

Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。
このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。

影響を受けるバージョンは、7.x-2.10より前のバージョン。

数千名のデベロッパーやデザイン制作者、ビジネス関係者が世界中から集うDrupal最大のイベント『Drupal Con』が2016年5月9日～13日まで北米のニューオリンズにて開催されます。

＊＊＊概要＊＊＊

■DrupalCon NewOrieans2016■

▼DrupalCon Orieans2016イベントページ
https://events.drupal.org/neworleans2016

▼開催日
2016年5月9日(月) - 13日(金)

Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015

2016年3月9日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-015
●プロジェクト：　Scald File Provider (拡張モジュール)
●バージョン　：　7.x
●投稿日　　　：　2016/3/9
●セキュリティリスク：　Critical
●脆弱性　　　：　Arbitrary PHP code execution

==概要==
PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。

DrupalCon Asia2016の3日目は、Danese Cooper氏のKeynoteから始まります。

【主なラインナップ】
▼Keynote: Danese Cooper
https://events.drupal.org/asia2016/keynote-danese-cooper

Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported

2016年3月2日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-013
●プロジェクト：　Node Notify (拡張モジュール)
●バージョン　：　7.x
●投稿日　　　：　2016/3/2
●セキュリティリスク：　Critical
●脆弱性　　　：　Access bypass

==概要==
Node Notifyは小規模なモジュールで、登録ユーザーおよび匿名ユーザーが、ノードのコメントを購読できるようになる機能を提供します。

このモジュールは、ユーザーが送信したコンテンツで不適切な部分を削除する機能が十分ではないので、クロスサイトスクリプティングの脆弱性が発生します。

DrupalCon2日目は、現地（インド）のコミュニティのプレゼンテーションから始まりました。歌にダンスに大盛り上がりの演出で来場者をさらに熱く盛り上げていました。

（flickrより）

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

2016年2月24日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　SA-CORE-2016-001
●プロジェクト：　Drupal core
●バージョン　：　6.x, 7.x, 8.x
●投稿日　　　：　2016/2/24
●セキュリティリスク：　Critical
●脆弱性　　　：　Multiple vulnerabilities

==概要==