HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069
Critical
拡張モジュール
2018/10/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :HTM MailL
●投稿日 :2018/10/17
●セキュリティリスク :クリティカル17/25 AC:基本/ A:管理者/ CI:すべて/ II:すべて/ E:理論/ TD:すべて
●脆弱性 : リモートでコードが実行される
==概要==
HTMLモジュールは、自分のWebサイトを他のテーマにすることが可能です。
このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。
この問題は、Drupal CoreリリースSA-CORE-2018-006に関連しています
解決方法
最新バージョンをダウンロードしてください。
Drupal7/xを実行している場合は、
・7.x-2.71に更新してください。
・7.x-2.65をまだ使用している場合は、セキュリティパッチのみが適用されたバージョンDamien Tournoud