セキュリティ情報

Link - Critical - Remote Code Execution - SA-CONTRIB-2019-020

2019-02-28
Critical
拡張モジュール

2019/2/20(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Link

●投稿日 :2019/2/20

●セキュリティリスク :Critical
●脆弱性 : Remote Code Execution

==概要==

これによりSA-CORE-2019-003で説明されている問題が解決されます。すべての設定が影響を受けるわけではありません。 詳細はSA-CORE-2019-003を参照してください。

▼解決方法
最新バージョンをダウンロードしてください。

JSON:API - Highly critical - Remote code execution - SA-CONTRIB-2019-019

2019-02-28
Highly Critical
拡張モジュール

2019/2/20(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト : JSON:API

●投稿日 :2019/2/20

●セキュリティリスク :Highly critical
●脆弱性 : Remote code execution

==概要==

これによりSA-CORE-2019-003で説明されている問題が解決されます。

▼解決方法
最新バージョンをダウンロードしてください。

・Drupal 8.x用のJSON:APIモジュール2.xバージョンを使用している場合は、 JSON:API 8.x-2.3にアップグレードしてください。

RESTful Web Services - Critical - Access bypass - SA-CONTRIB-2019-018

2019-02-28
Critical
拡張モジュール

2019/2/20(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :RESTful Web Services

●投稿日 :2019/2/20

●セキュリティリスク :クリティカル
●脆弱性 : Access bypass

==概要==

これによりSA-CORE-2019-003で説明されている問題が解決されます。すべての設定が影響を受けるわけではありません。 詳細はSA-CORE-2019-003を参照してください。

▼解決方法
最新バージョンをダウンロードしてください。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003

2019-02-28
Highly Critical
コア

2019年2月20日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2019/2/20
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
フォーム以外からのデータが適切にサニタイズされないフィールドタイプがあります。この場合、PHPコードが勝手に実行されてしまう可能性があります。

サイトが影響を受けるのは、次の条件のうち一つが当てはまる場合のみです。

Entity Registration - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-017

2019-02-20
Critical
拡張モジュール

2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)

●投稿日 :2019/2/13

●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities

==概要==

このモジュールを使用すると、電子メールアドレスやその他の設定に必要な質問など、登録者から情報を収集できます。

OAuth 2.0 Client Login (Single Sign-On) - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-016

2019-02-20
Critical
拡張モジュール

2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)

●投稿日 :2019/2/13

●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities

==概要==
このモジュールを使用すると、OAuth 2.0プロトコル又は、外部のプロバイダを介してDrupal Webサイトにログインすることができます。

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002

2019-01-17
Critical
コア

==元記事==
https://www.drupal.org/sa-core-2019-002

2019/1/16(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/1/16
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
信頼できないphar:// URIでファイル操作を実行する際に、PHPに組み込まれているpharストリームラッパーにリモートでコードが実行される脆弱性が存在します。

Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001

2019-01-17
Critical
コア

2019/16(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/1/16
●セキュリティリスク : Critical
●脆弱性 : Third Party Libraries

==概要==
DrupalコアはサードパーティのPEAR Archive_Tarライブラリを使用しています。このライブラリはDrupalの設定に影響を与えるセキュリティアップデートをリリースしました。詳細はCVE-2018-1000888をご参照ください。

Phone Field - Critical - SQL Injection - SA-CONTRIB-2019-001

2019-01-10
Critical
拡張モジュール

==元記事==
https://www.drupal.org/sa-contrib-2019-001

2019/1/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Phone Field
●投稿日 :2019/1/9
●セキュリティリスク : Critical
●脆弱性 : SQL Injection

Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006

2018-11-09
コア

・Advisory ID: DRUPAL-SA-CORE-2018-006
・Project: Drupal Core
・Version: 7.x,8.x
・Date: 2018/10/17

説明

コンテンツの管理 - アクセスバイパス - Drupal 8


状況によっては、コンテンツのモデレーションがユーザーのアクセスをチェックして特定のトランジションを使用することができず、アクセスのバイパスが発生します。

この問題を修正するために、下位互換性に影響する可能性があるコンテンツモデレーションに以下の変更が加えられました。

ModerationStateConstraintValidator
2つの追加サービスがこのサービスに導入されました。このサービスをサブクラス化すると、コンストラクタがオーバーライドされている場合、これらの追加の依存関係がコンストラクタに確実に渡されるようにする必要があります。