SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities 2014年7月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-003
●プロジェクト: Drupal core
●バージョン: 6.x,7.x
●投稿日: 2014/07/16
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Multiple vulnerabilities
==概要==
SA-CONTRIB-2014-053 - Field API Tab Editor (FATE) - Access bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-053
●プロジェクト: Field API Tab Editor (拡張モジュール)
●バージョン : 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-050-Commerce Postfinance ePayment - Access Bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-050
●プロジェクト: Commerce Postfinance ePayment (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-048 - Field API Pane Editor (FAPE) - Access bypass 2014年4月30日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-048
●プロジェクト: Field API Pane Editor (FAPE) (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/04/30
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性 Access bypass
==概要==
SA-CORE-2014-002 - Drupal core - Information Disclosure 2014年4月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-002
●プロジェクト: Drupalコア
●バージョン: 6.x,7.x
●投稿日: 2014/04/16
●セキュリティリスク: Moderately critical
●リモート接続による悪用
●脆弱性: 情報漏洩
==概要==
SA-CONTRIB-2014-041- Block Search - SQL Injection 2014年4月16日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-041
●プロジェクト: Block Search (拡張モジュール)
●バージョン: 6.x
●投稿日: 2014/04/16
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性: SQL Injection
==概要==
Block Searchモジュールは、ブロックを管理する別の方法を提供します。 このモジュールでは,SQL injection を許可しているデータベースに直接渡されるユーザーが提供する文字列を扱う場合,正しくDrupalのデータベースAPIを使用することができません。 この脆弱性は以下の制限から,軽減されることが確認されています。
SA-CONTRIB-2014-035-CAS Server - Access Bypass 2014年4月2日(日本時間:GMT+9)、Third-party module において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: SA-CONTRIB-2014-035
●プロジェクト: CAS(third-party module)
●バージョン: 6.x,7.x
●投稿日: 2014/04/02
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: アクセスバイパス
==概要==
2014年1月8日(日本時間:GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・重要度:Moderately critical
・対象バージョン:Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン
・脆弱性1:権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。
・脆弱性2:taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)
2014年1月9日(日本時間:GMT+9)、Media (Third-party) module において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・ 重要度:Moderately critical -
・対象バージョン:Media module for Drupal 7.x
・脆弱性:Media module を導入することで、サーバー上の任意のディレクトリからファイルを管理者がインポートが可能。しかし Import media 権限をもつユーザであれば、同様にインポート出来てしまう危険性
・ 改善点:7.x-2.x バージョンにて サブモジュール Media Bulk Upload を無効する機能の追加
【最新バージョン】
Media module
【Drupal.org による発表】
