セキュリティ情報

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003

2019-02-28
Highly Critical
コア

2019年2月20日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2019/2/20
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
フォーム以外からのデータが適切にサニタイズされないフィールドタイプがあります。この場合、PHPコードが勝手に実行されてしまう可能性があります。

サイトが影響を受けるのは、次の条件のうち一つが当てはまる場合のみです。

Entity Registration - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-017

2019-02-20
Critical
拡張モジュール

2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)

●投稿日 :2019/2/13

●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities

==概要==

このモジュールを使用すると、電子メールアドレスやその他の設定に必要な質問など、登録者から情報を収集できます。

OAuth 2.0 Client Login (Single Sign-On) - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-016

2019-02-20
Critical
拡張モジュール

2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)

●投稿日 :2019/2/13

●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities

==概要==
このモジュールを使用すると、OAuth 2.0プロトコル又は、外部のプロバイダを介してDrupal Webサイトにログインすることができます。

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002

2019-01-17
Critical
コア

==元記事==
https://www.drupal.org/sa-core-2019-002

2019/1/16(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/1/16
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
信頼できないphar:// URIでファイル操作を実行する際に、PHPに組み込まれているpharストリームラッパーにリモートでコードが実行される脆弱性が存在します。

Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001

2019-01-17
Critical
コア

2019/16(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/1/16
●セキュリティリスク : Critical
●脆弱性 : Third Party Libraries

==概要==
DrupalコアはサードパーティのPEAR Archive_Tarライブラリを使用しています。このライブラリはDrupalの設定に影響を与えるセキュリティアップデートをリリースしました。詳細はCVE-2018-1000888をご参照ください。

Phone Field - Critical - SQL Injection - SA-CONTRIB-2019-001

2019-01-10
Critical
拡張モジュール

==元記事==
https://www.drupal.org/sa-contrib-2019-001

2019/1/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Phone Field
●投稿日 :2019/1/9
●セキュリティリスク : Critical
●脆弱性 : SQL Injection

Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006

2018-11-09
コア

・Advisory ID: DRUPAL-SA-CORE-2018-006
・Project: Drupal Core
・Version: 7.x,8.x
・Date: 2018/10/17

説明

コンテンツの管理 - アクセスバイパス - Drupal 8


状況によっては、コンテンツのモデレーションがユーザーのアクセスをチェックして特定のトランジションを使用することができず、アクセスのバイパスが発生します。

この問題を修正するために、下位互換性に影響する可能性があるコンテンツモデレーションに以下の変更が加えられました。

ModerationStateConstraintValidator
2つの追加サービスがこのサービスに導入されました。このサービスをサブクラス化すると、コンストラクタがオーバーライドされている場合、これらの追加の依存関係がコンストラクタに確実に渡されるようにする必要があります。

HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069

2018-10-24
Critical
拡張モジュール

2018/10/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :HTM MailL

●投稿日 :2018/10/17

●セキュリティリスク :クリティカル17/25 AC:基本/ A:管理者/ CI:すべて/ II:すべて/ E:理論/ TD:すべて
●脆弱性 : リモートでコードが実行される

==概要==
HTMLモジュールは、自分のWebサイトを他のテーマにすることが可能です。

このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。

Mime Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-068

2018-10-22
Critical
拡張モジュール

2018/10/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Mime mail

●投稿日 :2018/10/18

●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : Remote Code Execution

==概要==
MIMEメールモジュールでは、画像と添付ファイルが埋め込まれたMIMEエンコードの電子メールメッセージを送信できます。

このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。

Lightbox2 - Critical - Cross Site Scripting - SA-CONTRIB-2018-064

2018-10-15
Critical
拡張モジュール

2018/10/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Lightbox2

●投稿日 :2018/1010

●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : クロスサイトスクリプティング

==概要==
Lightbox2モジュールを使用すると、イメージを現在のページにオーバーレイすることができます。

潜在的なクロスサイトスクリプティング(XSS)につながるカスタムビューと組み合わせて使用​​すると、モジュールは一部の入力をサニタイズしませんでした。