2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :DRD Agent
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : PHP object injection
==概要==
このモジュールは、任意の数のリモートDrupalサイトの監視と管理および中央のダッシュボードでの管理者用の有用な情報の集約を可能にします。
2018/4/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Media
●バージョン :7.x-2.18
●投稿日 :2018/4/25
●セキュリティリスク : Critical
●脆弱性 : Remote Code Execution
==概要==
Mediaモジュールは、ファイルやマルチメディアアセットがユーザー自身のサイトでホスティングされているか、サードパーティサイトでホスティングされているかにかかわらず、それらを管理するための拡張可能なフレームワークを提供します。
このモジュールにはSA-CORE-2018-004と類似した脆弱性が含まれていたため、リモートコード実行(RCE)攻撃を招くおそれがありました。
2018年4月25日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●投稿日 :2018/4/25
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution
2018年4月23日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
==概要==
2018年4月25日UTC (協定世界時) 16:00 - 18:00にDrupal 7.x、8.4.x、8.5.x のセキュリティリリースが行われる予定です。
このPSAはDrupalコアのリリースはセキュリティリリースの正規スケジュールが組まれている時間外に行われるとお知らせするためのものです。
全てのセキュリティアップデートについて言えることですが、Drupalセキュリティチームは、上記時間帯にコアのアップデートをする場合には時間の余裕をもって行うことをお勧めします。
アップデートに数時間あるいは数日かかるおそれがあるからです。セキュリティリリースはDrupal.org のセキュリティ・アドバイザリーのページに告知されます。
2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Display Suite
●バージョン :7.x-2.14 / 7.x-1.9
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Cross site scripting (XSS)
2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Menu Import and Export
●バージョン :8.x-1.0
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。
このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。
この脆弱性に対する軽減策はありません。
2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution
==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。
セキュリティチームはこの件についてのFAQ を作成しました。
==解決方法==
Drupal 7、8コア最新版へのアップグレード
2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical
2018/3/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Exif
●投稿日 :2018/3/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。
このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。
この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。
2018/2/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :CKEditor Upload Image
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。
