セキュリティ情報

KCFinder integration - Critical - Unsupported Module - SA-CONTRIB-2018-024

Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :KCFinder integration
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Unsupported Module

==概要==
KCFinder は他言語ファイル・イメージマネージャーで選択、挿入、アップロードそして写真のアレンジを簡易化することができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

Multi-Step Registration - Critical - Unsupported Module - SA-CONTRIB-2018-023

Critical
拡張モジュール

2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Multi-Step Registration
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Unsupported Module

==概要==
Multi-Stepに登録することで、multi-step (wizard) のユーザーアカウントを作成ができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。

DRD Agent - Critical - PHP object injection - SA-CONTRIB-2018-022

Critical
拡張モジュール

2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :DRD Agent
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : PHP object injection

==概要==
このモジュールは、任意の数のリモートDrupalサイトの監視と管理および中央のダッシュボードでの管理者用の有用な情報の集約を可能にします。

モジュール(DRDおよびDRDエージェント)はモジュール間で交換されるデータを暗号化しますが、それを行うために、json_encode/json_decodeの組み合わせの代わりにPHPシリアライズ/アンシリアライズ関数を使用します。
アンシリアライズ関数は承認されていないコンテンツ上で呼び出されるため、それによってPHPオブジェクトインジェクション脆弱性が取り込まれます。

Media - Critical - Remote Code Execution - SA-CONTRIB-2018-020

Critical
拡張モジュール

2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Media
●バージョン :7.x-2.18
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : Remote Code Execution

==概要==
Mediaモジュールは、ファイルやマルチメディアアセットがユーザー自身のサイトでホスティングされているか、サードパーティサイトでホスティングされているかにかかわらず、それらを管理するための拡張可能なフレームワークを提供します。

このモジュールにはSA-CORE-2018-004と類似した脆弱性が含まれていたため、リモートコード実行(RCE)攻撃を招くおそれがありました。

==解決方法==。
最新版をインストールします。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

Highly Critical
コア

2018年4月25日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/4/25
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.xおよび8.xの複数のサブシステム内にリモートコード実行脆弱性が存在します。
この脆弱性は、攻撃者によるDrupalサイト上の複数の攻撃ベクターの悪用を許す可能性があり、その結果、サイトが不正アクセスを受けるおそれがあります。
この脆弱性は、Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002に関連しています。SA-CORE-2018-002と、この脆弱性の両方の悪用が野放しにされています。

Drupal 7 and 8 core critical release on April 25th, 2018 PSA-2018-003

Critical
コア

2018年4月23日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

==概要==
2018年4月25日UTC (協定世界時) 16:00 - 18:00にDrupal 7.x、8.4.x、8.5.x のセキュリティリリースが行われる予定です。
このPSAはDrupalコアのリリースはセキュリティリリースの正規スケジュールが組まれている時間外に行われるとお知らせするためのものです。
全てのセキュリティアップデートについて言えることですが、Drupalセキュリティチームは、上記時間帯にコアのアップデートをする場合には時間の余裕をもって行うことをお勧めします。
アップデートに数時間あるいは数日かかるおそれがあるからです。セキュリティリリースはDrupal.org のセキュリティ・アドバイザリーのページに告知されます。

Display Suite - Critical - Cross site scripting (XSS) - SA-CONTRIB-2018-019

Critical
拡張モジュール

2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Display Suite
●バージョン :7.x-2.14 / 7.x-1.9
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Cross site scripting (XSS)

==概要==
ディスプレイスイートは、コンテンツの表示の仕方を、ドラッグ&ドロップインターフェースを使って全面的にコントロールできるようにします。

このモジュールは、反射型クロスサイトスクリプティング (XSS) 攻撃につながるURLを通し動的に提供される閲覧モードを、十分に検証しません。
この脆弱性は、ほとんどの最新のブラウザーでURL経由の反射型XSSに対する保護対策が講じられているという事実により、軽減されています。

Menu Import and Export - Critical - Access bypass - SA-CONTRIB-2018-018

Critical
拡張モジュール

2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Menu Import and Export
●バージョン :8.x-1.0
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。
このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。
この脆弱性に対する軽減策はありません。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

Highly Critical
コア

2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。

セキュリティチームはこの件についてのFAQ を作成しました。

==解決方法==
Drupal 7、8コア最新版へのアップグレード

Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001

Highly Critical
コア

2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical

==概要==
本文書の公開から1週間後、2018年3月28日18:30-19:30 (UTC) の間に、 Drupal 7.x 8.3.x 8.4.x および 8.5.x 向けのセキュリティリリースが行われます。これは非常に深刻なセキュリティ上の脆弱性を修正するものです。
脆弱性を突いたエクスプロイトは、数時間または数日以内に作成される可能性があるため、必ず上記の時間帯にコアアップデートの時間を取って下さい。セキュリティリリースの告知はDrupal.orgのセキュリティアドバイザリーページに掲載されます。