2017年4月19日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CORE-2017-002
●プロジェクト　：Drupalコア
●バージョン　： 8.x
●投稿日　：2017/4/19
●セキュリティリスク　： Critical
●脆弱性　： Access bypass

==概要==
これはCriticalなAccess bypass脆弱性です。サイトに影響があるのは以下に記載されている条件の全てが満たしている場合のみです。

・RESTful Web Services (rest)拡張モジュールは有効である
・サイトはPATCH リクエストを可能にしている
・不正使用者はユーザーアカウントを入手できる、もしくは作成できる

普段、サポートしていないマイナーバージョンに関しましてセキュリティパッチを公開しませんが、可能な脆弱性を推定したところ、今回はまだバージョンアップできなかった方にもセキュリティパッチを提供します。

2017年4月17日(日本時間：GMT+9)、Drupal８コアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-PSA-2017-001
●プロジェクト: Drupalコア
●バージョン：8.x
●投稿日: 2017/4/17

==概要==
Drupalコアにおいて脆弱性が発見された為、2017/04/19 17:00 - 18:00 UTC (日本時間:GMT+9; 2017/04/20 02:00 – 03:00)にDrupal 8.3.x、8.2.xバージョンのセキュリティパッチを公開する予定です。

普段、サポートしていないマイナーバージョンに関しましてセキュリティパッチを公開しませんが、可能な脆弱性を推定したところ、今回はまだバージョンアップできなかった方にもセキュリティパッチを提供する予定です。

2017年4月12日(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-36
●プロジェクト　：  Legal (拡張モジュール)
●投稿日　：2017/4/12

==概要==
このモジュールは登録したいユーザーに利用条件を表示し、利用条件認知を必要とします。

Drupalセキュリティーチームはこのモジュールを認証しません。脆弱性が発見されましたが、開発者は改善は行わず、本モジュールを留置する場合はhttps://www.drupal.org/node/251466 を確認してください。

==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。
Legal 拡張モジュールを使用していない場合は、何もする必要はありません。

2017年4月12日(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-SA-CONTRIB-2017-35
●プロジェクト: Book access (拡張モジュール)
●投稿日: 2017/4/12

==概要==
このモジュールは、bookモジュール許可モデルを変更し、access/modify/delete権利をper-book基準に定義することを可能にします。本来、DrupalCoreによって発行されるbook関連の権限は全てのbookに当てはまりますが、このモジュールによって特定したユーザーに特定したbookに当たって特定の権利を提供することを可能にします。

Drupalセキュリティーチームはこのモジュールを認証しません。脆弱性が発見されましたが、開発者によって改善が行わず、本モジュールを留置すればhttps://www.drupal.org/node/251466 を確認してください。

2017年3月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-030
●プロジェクト　： Password Reset Landing Page (PRLP) (拡張モジュール)
●バージョン　： 8.x
●投稿日　：2017/3/8
●セキュリティリスク　： Critical
●脆弱性　： Access bypass, Privilege escalation

==概要==
このモジュールは、ログイン手順の間にユーザーのパスワードを変更できるように、パスワードリセットのランディングページにフォームを追加します。

このモジュールはすべてのアクセストークンを十分には検証しません。
これは攻撃者に、任意のユーザーのパスワードを変更し、そのアカウントにアクセスすることを可能にします。
攻撃者が不正使用するためには、サイトのアクティブアカウントを持っている必要があります。

2017年3月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-029
●プロジェクト　： Services (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2017/3/8
●セキュリティリスク　： Highly Critical
●脆弱性　： Arbitrary PHP code execution

2017年3月1日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： Breakpoint Panels - Critical - Unsupported - SA-CONTRIB-2017-028
●プロジェクト　： breakpoint panels (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2017/3/1

2017年3月1日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-027
●プロジェクト　： AES encryption (拡張モジュール)
●バージョン　： 7.x　8.x
●投稿日　：2017/3/1

==概要==
このモジュールは他のモジュールがAES暗号化アルゴリズムを用いてデータを暗号化／復号化することを可能にするAPIを提供します。
このモジュールは暗号化データの安全性に関する要求を満たしません。このモジュールを用いて暗号化されたデータへアクセスする攻撃者は通常よりも容易に復号化が出来ます。

脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。
本モジュールを留置する場合はhttps://www.drupal.org/node/251466 を確認してください。

2017年3月1日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-025
●プロジェクト　： Remember Me (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2017/3/1

==概要==
Remember meはユーザーがログインしている間 “Remember me”をチェックすることを可能とするモジュールです。
セキュリティ・チームはこのモジュールをunsupported（非サポート）とマークを付けています。
このモジュールに関してはメンテナーにより修正されていない既知のセキュリティ上の問題があります。
このモジュールを維持したい場合は https://www.drupal.org/node/251466 をお読みください。

2017年2月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-011
●プロジェクト　： Facebook Pull (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2017/2/8
●セキュリティリスク　： Critical

==概要==
このモジュールにより、Facebook API との統合性を付与することが可能になります。
このモジュールは、Facebook からのデータを充分にサニタイジング(無害化)するものではありません。
攻撃者は、悪意のあるコードを Facebook API に阻止されずに通過させる、もしくは、Facebook の DNS (ドメインネームシステム)に変更を加え、API のエンドポイントを作成し直すことができなければ、攻撃を与えることができません。この事実により、上記の脆弱性は緩和されています。