SA-CONTRIB-2014-041- Block Search - SQL Injection 2014年4月16日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。


●勧告ID：　DRUPAL-SA-CONTRIB-2014-041

●プロジェクト：　Block Search (拡張モジュール)

●バージョン：　6.x

●投稿日：　2014/04/16

●セキュリティリスク：　Highly Critical

●リモート接続による悪用

●脆弱性：　SQL Injection



==概要==

Block Searchモジュールは、ブロックを管理する別の方法を提供します。 このモジュールでは，SQL injection を許可しているデータベースに直接渡されるユーザーが提供する文字列を扱う場合，正しくDrupalのデータベースAPIを使用することができません。 この脆弱性は以下の制限から，軽減されることが確認されています。

SA-CONTRIB-2014-035-CAS Server - Access Bypass 2014年4月2日(日本時間：GMT+9)、Third-party module において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　SA-CONTRIB-2014-035
●プロジェクト：　CAS(third-party module)
●バージョン：　6.x,7.x
●投稿日：　2014/04/02
●セキュリティリスク：　Critical
●リモート接続による悪用
●脆弱性：　アクセスバイパス

==概要==

2014年1月8日(日本時間：GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

【今回発見された脆弱性】

・重要度：Moderately critical

・対象バージョン：Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン

・脆弱性1：権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。

・脆弱性2：taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)

2014年1月9日(日本時間：GMT+9)、Media (Third-party) module において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

【今回発見された脆弱性】

・ 重要度：Moderately critical -

・対象バージョン：Media module for Drupal 7.x

・脆弱性：Media module を導入することで、サーバー上の任意のディレクトリからファイルを管理者がインポートが可能。しかし Import media 権限をもつユーザであれば、同様にインポート出来てしまう危険性

・ 改善点：7.x-2.x バージョンにて サブモジュール Media Bulk Upload を無効する機能の追加

【最新バージョン】

Media module

【Drupal.org による発表】