2017年７月５日(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-056

●プロジェクト　：OAuth (拡張モジュール)

●バージョン　： 8.x

●投稿日　：2017/7/05

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

本モジュールではOAuth 認証プロトコルによるリクエストを保護できます。
認証したユーザーは掲載していないノードなどのリソースをリクエストする際に、本モジュールはキャッシュAPIにレスポンスをキャッシングすることを防ぐように十分な通知をしません。

攻撃者は当サイトのアベイラブルリソースを知る必要があることによってこの脆弱性は低減されています。

2017/6/28(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-054

●プロジェクト　： Services(拡張モジュール)

●投稿日　：2017/6/28

==概要==

このモジュールは外部クライアントがDrupalと通信/コミュニケーションできるためのAPIの一定した生成方法を提供します。


クライアントがクエリーしてデータを整理する際に本モジュールはクライアントによって規定した列指名を十分サニタイズしません。


この脆弱性はサイトがインデックスリソースを有効にしてある必要があり、攻撃者もエンドポイントURLを知る必要がある事実によって低減されます。

2017年6月21日（日本時間：GMT +9）、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、必要な場合はアップデートをおすすめします。

Drupal 8.3.4はセキュリティ上の脆弱性の修正を含むメンテナンスリリースです。

既存のDrupal 8をアップデートすることを強くお勧めします。(Drupal8の使用説明書をご覧ください。）このリリースはセキュリティ問題のみ修正しており、新しい特徴やセキュリティ関連のバグ修正はありません。重要な変更についての詳細の8.3.4リリースの注意をご覧いただき、このリリースに影響を与える問題点をご理解ください。このリリースで修正されたセキュリティ上の脆弱性の詳細をお読みください。

2017年5月31日（日本時間：GMT+9）、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-052

●プロジェクト　： Lightweight Directory Access Protocol (LDAP)(拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/05/31

●セキュリティリスク　： Critical

●脆弱性　： Multiple vulnerabilities

==概要==

いくつかのケースで、LDAPモジュールがユーザーの入力を正しくサニタイズせず、ユーザーが制約なくパラメーターを修正したり、データを挿入できてしまう場合があります。

もしサイト管理者がユーザーフォームにEメールやパスワードを ("管理者権限"で表示する又は利用不可にする代わりに) 表示させないように選択した場合 、それらの値は上書きされてしまう可能性があります。

2017年5月17日 (日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-048

●プロジェクト　： Bootstrap(拡張モジュール)

●バージョン　： 8.x

●投稿日　：2017/05/17

●セキュリティリスク　： Critical

●脆弱性　： Information Disclosure

==概要==

Bootstrap拡張モジュール（テーマ）によってBootstrap FrameworkとDrupal間のギャップを埋めることができます。このテーマは送信したパスワードの値が間違っている場合にパスワードの値を十分に省きません。

==影響を受けるバージョン==

Bootstrapの8.x-3.5以下の8.x-3.xバージョンは影響を受けます。

2017年5月10日 (日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-047

●プロジェクト　： DRD Agent(拡張モジュール)

●バージョン　： 6.x, 7.x, 8.x

●投稿日　：2017/05/10

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Request Forgery, Open Redirect

==概要==

Drupal Remote Dashboard (DRD)拡張モジュールはDrupalサイトにリモートアクセスできる機能を提供し、認証したDRDサイトからのリクエストに対応するのは本モジュール（リモートモジュール）のDRD Agent拡張モジュールです。

2017年5月10日 (日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-046

●プロジェクト　： Drupal Remote Dashboard(拡張モジュール)

●バージョン　： 8.x

●投稿日　：2017/05/10

●セキュリティリスク　： Critical

●脆弱性　： Access Bypass, Information Disclosure
　（アクセスバイパス、情報解放）

==概要==

このモジュールはDrupalサイトにリモートアクセスできる機能を提供し、諸サイトを一所から管理できることを可能にします。

2017年4月19日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CORE-2017-002

●プロジェクト　：Drupalコア

●バージョン　： 8.x

●投稿日　：2017/4/19

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

これはCriticalなAccess bypass脆弱性です。サイトに影響があるのは以下に記載されている条件の全てが満たしている場合のみです。

・RESTful Web Services (rest)拡張モジュールは有効である

・サイトはPATCH リクエストを可能にしている

・不正使用者はユーザーアカウントを入手できる、もしくは作成できる

2017年4月17日(日本時間：GMT+9)、Drupal８コアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-PSA-2017-001

●プロジェクト: Drupalコア

●バージョン：8.x

●投稿日: 2017/4/17

==概要==

Drupalコアにおいて脆弱性が発見された為、2017/04/19 17:00 - 18:00 UTC (日本時間:GMT+9; 2017/04/20 02:00 – 03:00)にDrupal 8.3.x、8.2.xバージョンのセキュリティパッチを公開する予定です。

普段、サポートしていないマイナーバージョンに関しましてセキュリティパッチを公開しませんが、可能な脆弱性を推定したところ、今回はまだバージョンアップできなかった方にもセキュリティパッチを提供する予定です。

2017年4月12日(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-36

●プロジェクト　：  Legal (拡張モジュール)

●投稿日　：2017/4/12

==概要==

このモジュールは登録したいユーザーに利用条件を表示し、利用条件認知を必要とします。


Drupalセキュリティーチームはこのモジュールを認証しません。脆弱性が発見されましたが、開発者は改善は行わず、本モジュールを留置する場合はhttps://www.drupal.org/node/251466 を確認してください。