HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069

2018-10-24
Critical
拡張モジュール

2018/10/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :HTM MailL

●投稿日 :2018/10/17

●セキュリティリスク :クリティカル17/25 AC:基本/ A:管理者/ CI:すべて/ II:すべて/ E:理論/ TD:すべて
●脆弱性 : リモートでコードが実行される

==概要==
HTMLモジュールは、自分のWebサイトを他のテーマにすることが可能です。

このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。

この問題は、Drupal CoreリリースSA-CORE-2018-006に関連しています

解決方法

最新バージョンをダウンロードしてください。

Drupal7/xを実行している場合は、
7.x-2.71に更新してください。
・7.x-2.65をまだ使用している場合は、セキュリティパッチのみが適用されたバージョンDamien Tournoud

==元記事==

https://www.drupal.org/sa-contrib-2018-069