2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-027
●プロジェクト : AES encryption (拡張モジュール)
●バージョン : 7.x 8.x
●投稿日 :2017/3/1
==概要==
このモジュールは他のモジュールがAES暗号化アルゴリズムを用いてデータを暗号化/復号化することを可能にするAPIを提供します。
このモジュールは暗号化データの安全性に関する要求を満たしません。このモジュールを用いて暗号化されたデータへアクセスする攻撃者は通常よりも容易に復号化が出来ます。
2017年3月1日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-025
●プロジェクト : Remember Me (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/3/1
==概要==
Remember meはユーザーがログインしている間 “Remember me”をチェックすることを可能とするモジュールです。
セキュリティ・チームはこのモジュールをunsupported(非サポート)とマークを付けています。
このモジュールに関してはメンテナーにより修正されていない既知のセキュリティ上の問題があります。
このモジュールを維持したい場合は https://www.drupal.org/node/251466 をお読みください。
2017年2月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-011
●プロジェクト : Facebook Pull (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/2/8
●セキュリティリスク : Critical
==概要==
このモジュールにより、Facebook API との統合性を付与することが可能になります。
このモジュールは、Facebook からのデータを充分にサニタイジング(無害化)するものではありません。
攻撃者は、悪意のあるコードを Facebook API に阻止されずに通過させる、もしくは、Facebook の DNS (ドメインネームシステム)に変更を加え、API のエンドポイントを作成し直すことができなければ、攻撃を与えることができません。この事実により、上記の脆弱性は緩和されています。
2017年1月25日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-008
●プロジェクト : Salescloud (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/25
●セキュリティリスク : Critical
==概要==
SalesCloudモジュールはDrupalを、商取引パース(PaaS)であるSalesCloudのAPIに接続します。
==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。salescloud拡張モジュールを使用していない場合は、何もする必要はありません。
2017年1月25日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-007
●プロジェクト : microblog (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/25
●セキュリティリスク : Critical
==概要==
Microblogモジュールは、Microblogモジュールを使用しているDrupalサイト上でマイクロブログを可能にします。
==影響を受けるバージョン==
全てのバージョンです。
Drupalコアには影響がありません。Microblog拡張モジュールを使用していない場合は、何もする必要はありません。
2017年1月11日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-005
●プロジェクト : (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/11
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
Mailjetモジュールは、拡張システムと一体化して、ニュースレターやシステムの通知などのサイトから発行されるEメールを送ります。
2017年1月4日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-001
●プロジェクト : Permissions by Term (拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/1/4
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure
2016年12月26日(日本時間:GMT+9)、拡張ライブラリにおいて 脆弱性が発見されました。
インストールしているDrupalの導入ライブラリを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-PSA-2016-004
●プロジェクト : PHPMailer (拡張ライブラリ)
●バージョン : 7.x, 8.x
●投稿日 :2016/12/26
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
PHPMailer及びSMTPモジュールは (また恐らく他のモジュールも)、拡張PHPMailerライブラリを使ったメール送信をサポートします。
2016年12月7日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-063
●プロジェクト : High-performance JavaScript callback handler (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/12/7
●セキュリティリスク : Highly Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities
==概要==
High-performance JavaScript callback handlerモジュールは処理が軽いコールバックで、Drupalのほとんどのブートストラップ処理をバイパスすることができ、パフォーマンスの向上に貢献します。
DRUPAL-SA-CORE-2016-004
2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。
●勧告ID : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日 : 2016/9/21
●セキュリティリスク: Critical
==概要==
▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)
ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。
