Mime Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-068
Critical
拡張モジュール
2018/10/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Mime mail
●投稿日 :2018/10/18
●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : Remote Code Execution
==概要==
MIMEメールモジュールでは、画像と添付ファイルが埋め込まれたMIMEエンコードの電子メールメッセージを送信できます。
このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。
この問題は、Drupal CoreリリースSA-CORE-2018-006に関連しています。
解決方法
最新バージョンをダウンロードしてください。
・Drupal 7.x用のMime Mailモジュールを使用している場合は、Mime Mail 7.x-1.1
または、Mime Maiプロジェクトのページを参照してください。