セキュリティ情報

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013

2020-11-27
Critical
コア

2020/11/25(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/11/25
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
●CVE IDs :CVE-2020-28949
       CVE-2020-28948

==概要==

Drupalプロジェクトは、PEARArchive_Tarライブラリを使用しています。 PEAR Archive_Tarライブラリが、Drupalに影響を与えるセキュリティアップデートをリリースしました。詳細については、以下を参照してください。

SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider - Critical - Access bypass - SA-CONTRIB-2020-038

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
このモジュールを使用すると、SAML2.0準拠のIDプロバイダーに常駐しているユーザーが、DrupalWebサイトにログインできます。

モジュールには2つの認証バイパスの脆弱性があります。

Ink Filepicker - Critical - Unsupported - SA-CONTRIB-2020-037

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Ink Filepicker
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Unsupported

==概要==
セキュリティチームは、このプロジェクトをサポート対象外とマークしています。プロジェクトには、メンテナーによって修正されていない既知のセキュリティ問題があります。

このモジュールが統合されているサードパーティのサービスは廃止された可能性があります。

Media: oEmbed - Critical - Remote Code Execution - SA-CONTRIB-2020-036

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Media: oEmbed
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote Code Execution

==概要==
Media oEmbedは、SA-CORE-2020-012で説明されているように、特定のファイル名を適切にサニタイズしません。

Examples for Developers - Critical - Remote Code Execution - SA-CONTRIB-2020-035

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Examples for Developers
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote Code Execution

==概要==
Examplesプロジェクト内のFileExampleサブモジュールは、 SA-CORE-2020-012 で説明されているように、他の関連する脆弱性とともに特定のファイル名を適切にサニタイズしません。

したがって、FileExampleは、ファイルセキュリティのベストプラクティスを示すバージョンが将来追加されるまで、Exampleから削除されます。

Drupal core - Critical - Remote code execution - SA-CORE-2020-012

2020-11-19
Critical
コア

2020/11/18(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote code execution

==概要==

11月18日更新:危険なファイル拡張子のより長いリストを文書化。

Drupalコアは、アップロードされたファイルの特定のファイル名を適切にサニタイズしません。これにより、ファイルが誤った拡張子として解釈され、誤ったMIMEタイプとして機能したり、特定のホスティング構成でPHPとして実行されたりする可能性があります。

Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009

2020-09-18
Critical
コア

2020/9/16(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/9/16
●セキュリティリスク : Critical
●脆弱性 :Cross-site scripting

==概要==

Drupal 8および9には、特定の状況下でクロスサイトスクリプティングの脆弱性 (XSS) があります。

攻撃者は、脆弱性を悪用するために影響を受けるフォームに対してHTMLをレンダリングする方法を利用する可能性があります。

Group - Critical - Information Disclosure - SA-CONTRIB-2020-030

2020-08-06
Critical
拡張モジュール

2020/7/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Group
●バージョン :8.x-1.x-dev
●投稿日 :2020/7/29
●セキュリティリスク : Critical
●脆弱性 : Information Disclosure

==概要==
このモジュールを使用すると、Webサイトの小さなサブセット、セクション、またはコミュニティに権限を配布できます。

このモジュールはノードグラントシステムを利用していましたが、最近の8.x-1.0リリースではこれをオフにし、ノードだけでなくすべてのエンティティタイプで動作するシステムを採用しました。そうすることで、いくつかの通常のノードアクセスチェックは、ノードグラントシステムが動作する方法により、ニュートラルから許可されたものに変わりました。

Modal Form - Critical - Access bypass - SA-CONTRIB-2020-029

2020-07-28
Critical
拡張モジュール

2020/7/22(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Modal Form
●投稿日 :2020/7/22
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
Modal Formモジュールは、モーダルウィンドウでフォームをすばやく使用するためのツールセットです。

modal_formモジュールがインストールされている場合、任意のフォームを表示および送信できます。唯一の要件は、フォームのfully-qualifiedクラス名を知ることです。

==解決方法==
modal_form-8.x-1.2.にアップグレードします。

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-005

2020-06-22
Critical
コア

2020/6/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/6/17
●セキュリティリスク : Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

Drupal 8および9には、特定の状況下でリモートでコードが実行される脆弱性があります。

攻撃者は、管理者をだまして悪意のあるサイトにアクセスさせ、ファイルシステム上に慎重に名前が付けられたディレクトリを作成する可能性があります。 このディレクトリが配置されている場合、攻撃者はリモートコード実行の脆弱性を総当たり攻撃する可能性があります。

Windowsサーバーが影響を受ける可能性が最も高いです。

==解決方法==
最新バージョンをインストールしましょう。