2017年1月11日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-005
●プロジェクト : (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/1/11
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
Mailjetモジュールは、拡張システムと一体化して、ニュースレターやシステムの通知などのサイトから発行されるEメールを送ります。
2017年1月4日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2017-001
●プロジェクト : Permissions by Term (拡張モジュール)
●バージョン : 8.x
●投稿日 :2017/1/4
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure
2016年12月26日(日本時間:GMT+9)、拡張ライブラリにおいて 脆弱性が発見されました。
インストールしているDrupalの導入ライブラリを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-PSA-2016-004
●プロジェクト : PHPMailer (拡張ライブラリ)
●バージョン : 7.x, 8.x
●投稿日 :2016/12/26
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
PHPMailer及びSMTPモジュールは (また恐らく他のモジュールも)、拡張PHPMailerライブラリを使ったメール送信をサポートします。
2016年12月7日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-063
●プロジェクト : High-performance JavaScript callback handler (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/12/7
●セキュリティリスク : Highly Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities
==概要==
High-performance JavaScript callback handlerモジュールは処理が軽いコールバックで、Drupalのほとんどのブートストラップ処理をバイパスすることができ、パフォーマンスの向上に貢献します。
DRUPAL-SA-CORE-2016-004
2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。
●勧告ID : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日 : 2016/9/21
●セキュリティリスク: Critical
==概要==
▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)
ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。
SA-CORE-2016-004
2016年9月21日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。
●勧告ID : DRUPAL-SA-CORE-2016-004
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日 : 2016/9/21
●セキュリティリスク: Critical
●脆弱性 : Multiple Vulnerabilities
==概要==
【Users without "Administer comments" can set comment visibility on nodes they can edit. (Less critical)】
ノードの編集権限を持つユーザーが、ノード用のコメントに可視性をセットすることができます。
これは、管理者コメント承認を持つユーザーを制限する必要があります。
2016年8月17日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-047
●プロジェクト : Panels (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/8/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure
==概要==
▼Panelsがアクセスをチェックしないルートの存在 (Critical)
一定の権限を持つユーザーは、Panelsを利用してページやエンティティのレイアウト及びpanel panesを変更することができます。
2016年8月3日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-041
●プロジェクト : Administration Views (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/8/3
●セキュリティリスク : Critical
●脆弱性 : Arbitrary Access bypass
==概要==
Administration Views moduleは、ユーザビリティ改善ため、リスティングページのオーバービューを実際のビューと代替します。
場合によって、モジュールが適正にアクセスをチェックしないことがあります。匿名ユーザが、本来アクセスできるべきでない情報を読むことができてしまう場合があります。
DRUPAL-SA-CORE-2016-003
2016年7月18日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。
●勧告ID : DRUPAL-SA-CORE-2016-003
●プロジェクト : Drupal core
●バージョン : 8.x
●投稿日 : 2016/7/18
●セキュリティリスク: Highly Critical
●脆弱性 : Injection
==概要==
Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。
攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。
影響を受けるバージョンは、
Drupal core 8.1.7よりも前のDrupal 8.xバージョンです。
2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-040
●プロジェクト : RESTful Web Services (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。
RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。
この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。
