2017年4月12日(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2017-35
●プロジェクト: Book access (拡張モジュール)
●投稿日: 2017/4/12
2017年3月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-030
●プロジェクト : Password Reset Landing Page (PRLP) (拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/3/8
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Privilege escalation
==概要==
このモジュールは、ログイン手順の間にユーザーのパスワードを変更できるように、パスワードリセットのランディングページにフォームを追加します。
このモジュールはすべてのアクセストークンを十分には検証しません。
これは攻撃者に、任意のユーザーのパスワードを変更し、そのアカウントにアクセスすることを可能にします。
攻撃者が不正使用するためには、サイトのアクティブアカウントを持っている必要があります。
2017年3月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-029
●プロジェクト : Services (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/3/8
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : Breakpoint Panels - Critical - Unsupported - SA-CONTRIB-2017-028
●プロジェクト : breakpoint panels (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/3/1
2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-027
●プロジェクト : AES encryption (拡張モジュール)
●バージョン : 7.x 8.x
●投稿日 :2017/3/1
==概要==
このモジュールは他のモジュールがAES暗号化アルゴリズムを用いてデータを暗号化/復号化することを可能にするAPIを提供します。
このモジュールは暗号化データの安全性に関する要求を満たしません。このモジュールを用いて暗号化されたデータへアクセスする攻撃者は通常よりも容易に復号化が出来ます。
2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-025
●プロジェクト : Remember Me (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/3/1
==概要==
Remember meはユーザーがログインしている間 “Remember me”をチェックすることを可能とするモジュールです。
セキュリティ・チームはこのモジュールをunsupported(非サポート)とマークを付けています。
このモジュールに関してはメンテナーにより修正されていない既知のセキュリティ上の問題があります。
このモジュールを維持したい場合は https://www.drupal.org/node/251466 をお読みください。
2017年2月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-011
●プロジェクト : Facebook Pull (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/2/8
●セキュリティリスク : Critical
==概要==
このモジュールにより、Facebook API との統合性を付与することが可能になります。
このモジュールは、Facebook からのデータを充分にサニタイジング(無害化)するものではありません。
攻撃者は、悪意のあるコードを Facebook API に阻止されずに通過させる、もしくは、Facebook の DNS (ドメインネームシステム)に変更を加え、API のエンドポイントを作成し直すことができなければ、攻撃を与えることができません。この事実により、上記の脆弱性は緩和されています。
2017年1月25日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-008
●プロジェクト : Salescloud (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/25
●セキュリティリスク : Critical
==概要==
SalesCloudモジュールはDrupalを、商取引パース(PaaS)であるSalesCloudのAPIに接続します。
==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。salescloud拡張モジュールを使用していない場合は、何もする必要はありません。
2017年1月25日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-007
●プロジェクト : microblog (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/25
●セキュリティリスク : Critical
==概要==
Microblogモジュールは、Microblogモジュールを使用しているDrupalサイト上でマイクロブログを可能にします。
==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。Microblog拡張モジュールを使用していない場合は、何もする必要はありません。
2017年1月11日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-005
●プロジェクト : (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/11
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
Mailjetモジュールは、拡張システムと一体化して、ニュースレターやシステムの通知などのサイトから発行されるEメールを送ります。
