United States Computer Emergency Readiness Team (US-CERT)は2018年10月18日(米国時間)、「Drupal Releases Security Updates|US-CERT」において、人気があるCMSの1つであるDrupalに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。 影響を受けるとされるプロダクトおよびバージョンは次のとおり。 Drupal 7.x系 Drupal 8.6.x系 Drupal 8.5.x系 脆弱性が修正されているプロダクトおよびバージョンは次のとおり。 Drupal 7.60 Drupal 8.6.2 Drupal 8.5.8 脆弱性の詳細は「Drupal Core - Multiple Vulnerab
There will be a security release of Drupal 7.x, 8.4.x, and 8.5.x on April 25th, 2018 between 16:00 - 18:00 UTC. This PSA is to notify that the Drupal core release is outside of the regular schedule of security releases. For all security updates, the Drupal Security Team urges you to reserve time for core updates at that time because there is some risk that exploits might be developed within hours
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。 PoCが公開された脆弱性は、Drupalの開発チームが3月28日に公開したアップデートのDrupal 7.58および8.5.1で修正されたリモートコード実行の脆弱性「CVE-2018-7600」。脆弱性はDrupal 7.xおよび8.xの複数のサブシステムに存在し、悪用された場合はDrupalで管理するウェブサイトなどが
コンテンツマネジメントシステム「Drupal」の開発チームは、リモートよりコードの実行が可能となる深刻な脆弱性に対処したアップデート「Drupal 8.5.1」「同7.58」をリリースした。 開発チームでは、悪用が容易な脆弱性が見つかったとして、セキュリティアップデートの公開について事前に告知していたが、同アップデートが公開となったもの。 問題の「CVE-2018-7600」は、外部より容易に悪用が可能となる脆弱性で、開発チームでは重要度を5段階中もっとも高い「高クリティカル(highly critical)」とレーティングした。 CMSを実行しているサイトの約9%にあたる100万サイト以上に影響を及ぼすおそれがあるという。アップデートを公開した時点で悪用は確認されていないが、数時間から数日以内に悪用するコードが開発される可能性があり、即時アップデートを行うよう呼びかけている。 開発チーム
Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001 Advisory ID: DRUPAL-PSA-2018-001 Project: Drupal Core Version: 7.x, 8.x Date: 2018-March-21 Description There will be a security release of Drupal 7.x, 8.3.x, 8.4.x, and 8.5.x on March 28th 2018 between 18:00 - 19:30 UTC, one week from the publication of this document, that will fix a highly critical security vulnerabilit
脆弱性は、数時間から数日中に悪用される可能性もある。問題の重大性を考慮して、既にサポートが終了している8.3.xと8.4.xも対象に含める。 オープンソースのコンテンツ管理システム(CMS)「Drupal」のセキュリティチームは3月21日、Drupalの「極めて重大な脆弱性」に対処するセキュリティリリースを、協定世界時の3月28日に公開すると予告した。 事前告知によると、Drupal 7.x、8.3.x、8.4.x、8.5.xを対象とするセキュリティリリースを、協定世界時の28日午後6時~7時半(日本時間29日午前3時~4時半)の間に公開する。 脆弱性は、数時間から数日中に悪用される可能性もあるとして、この時間をコアアップデートのために空けておくよう促した。8.3.xと8.4.xは既にサポートが終了しているものの、今回は問題の重大性を考慮して、まだ8.5.0にアップデートしていないサイトに
コンテンツマネジメントシステム(CMS)である「Drupal」の開発チームは、深刻な脆弱性を修正するセキュリティアップデートをリリースした。 「同8」「同7」において複数の脆弱性が判明し、アップデートの提供を開始したもの。 開発チームによれば、クロスサイトスクリプティング(XSS)対策が不十分であることが両バージョンに判明。さらに「同8」では、フォームにおいて権限の昇格が生じる脆弱性が明らかとなった。いずれも重要度は、5段階中2番目に高い「クリティカル(Critical)」とレーティングされている。 このほか、「同8」では1段階低い「中(Moderately Critical)」の脆弱性2件、「同7」に関しても2件の脆弱性を修正したほか、さらに1段階低い「低(Less Critical)」の脆弱性1件が含まれる。 開発チームでは、修正版として「同8.4.5」「同7.57」をリリース。最新版
コンテンツマネジメントシステム(CMS)の「Drupal」に深刻な脆弱性が含まれていることがわかった。開発チームは、アップデートを強く推奨している。 もっとも深刻とされる「CVE-2017-6925」は、システムの「エンティティ」に対するアクセス制御の脆弱性。重要度は、5段階中2番目に高い「クリティカル(Critical)」。 同脆弱性を悪用されると、特定条件の「エンティティ」について表示や作成、アップデート、削除などが行われるおそれがある。 また「Viewsモジュール」のAjax利用時におけるアクセス制御の脆弱性「CVE-2017-6923」や、承認をバイパスしてコメントが投稿できる「REST API」の脆弱性「CVE-2017-6924」を修正した。これらは重要度が1段階低い「中(Moderately Critical)にレーティングされている。 「Drupal」の開発チームでは、これ
コンテンツマネジメントシステム(CMS)の「Drupal」に深刻な脆弱性が含まれていることがわかった。アップデートがリリースされている。 開発チームによれば、同システムの「PECL YAMLパーサー」において、PHPオブジェクトの処理に脆弱性「CVE-2017-6920」が存在するという。同脆弱性を悪用されるとリモートよりコードを実行されるおそれがあり、重要度は5段階中2番目にあたる「クリティカル(Critical)」にレーティングされている。 同脆弱性より重要度は低いものの、第三者によりファイルをアップロードされ、ファイルの配布などに悪用されるおそれがある脆弱性「CVE-2017-6922」や、「RESTfulウェブサービスモジュール」利用時に影響を受ける「CVE-2017-6921」など、あわせて3件の脆弱性が判明した。 開発チームでは、脆弱性を解消したアップデート「同8.3.4」およ
コンテンツマネジメントシステム(CMS)の「Drupal」に深刻な脆弱性が含まれていることがわかった。開発チームでは脆弱性の影響を踏まえ、非サポートバージョンに対してもアップデートを用意したという。 「RESTful Web Services(REST)モジュール」を利用し、特定の条件下でアクセス制御がバイパスされる脆弱性「CVE-2017-6919」が明らかとなったもの。重要度は、5段階中2番目にあたる「クリティカル(Critical)」。 同モジュールを有効化しており、さらに「PATCH」によるリクエストを許可、くわえて攻撃者がユーザーアカウントを利用できる場合に脆弱性を悪用されるおそれがある。 「同8.3.0」「同8.2.7」、および以前のバージョンが影響を受ける。ただし、「Drupal 7.x」に関しては影響を受けないとしている。 開発チームでは、脆弱性を修正した「同8.3.1」を
コンテンツマネジメントシステム(CMS)である「Drupal」のセキュリティアップデートが公開された。複数の脆弱性を解消しており、開発チームでは最新版へのアップデートを強く推奨している。 今回公開した「Drupal 8.2.3」および「同7.52」は、CVEベースで4件の脆弱性へ対応したアップデート。 確認フォームにURLが挿入され、外部サイトへリダイレクトされるおそれがある脆弱性「CVE-2016-9451」を解消した。 また文字列の変換機能におけるサービス拒否の脆弱性「CVE-2016-9452」など、5段階中3番目に高い重要度「中(Moderately Critical)」の脆弱性2件を修正している。 さらに5段階中下から2番目にあたる「あまり重要ではない(Less Critical)」とされる脆弱性2件を修正した。開発チームでは、アップデートの内容を確認した上で、最新版へできるだけ
Drupal の Views モジュールには、アクセス制限を回避され、重要な統計情報を取得される脆弱性が存在します。 CVSS v3 による深刻度 基本値: 5.3 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃に必要な特権レベル: 不要 利用者の関与: 不要 影響の想定範囲: 変更なし 機密性への影響(C): 低 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への影響(C): 部分的 完全性への影響(I): なし 可用性への影響(A): なし
コンテンツマネジメントシステム(CMS) である「Drupal」のモジュールに見つかった脆弱性を探査するアクセスが発生している。 警察庁が、同庁のインターネット定点観測システムにおいて、「Drupal」のモジュールである「RESTWS」の脆弱性を探索するアクセスを確認したもの。 同モジュールに関しては、7月13日に特別に細工したリクエストを送信することで任意のPHPコードを実行される脆弱性が公表されたが、その後7月21日に同脆弱性を探索していると見られるアクセスを確認した。 今回確認されたアクセスは、直接コードを実行するものではなく、脆弱性の有無を確認している行為だが、同庁では、修正バージョンへアップデートするよう注意を呼びかけている。 (Security NEXT - 2016/09/02 ) ツイート
脆弱性 アップデート 時間 セキュリティ Drupal 8.1.7がリリース - 脆弱性"httpoxy"への対応 マイナビニュース 7月19日(火)13時52分 Drupalは18日(現地時間)、脆弱性などセキュリティ上の修復を図ったアップデートを行った8.1.7を公開した。公式ブログでは、8.x系統ユーザーには早期のアップデートを強く勧めるとしている。 アップデートは、CVE-2016-5385に対応するもので、8系統で使われていたPHPライブラリGuzzleのアップデートを含んだものとなる。Drupal Security Teamは、7系統でのアップデートはないが、PHPやPythonなどを使ったCGIアプリケーションにけるHTTP Proxy header周りの脆弱性を指摘する"httpoxy"への対応であり、.htaccess内に RequestHeader unset Prox
Advisory ID: DRUPAL-PSA-2016-001 Project: Drupal contributed modules Version: 7.x Date: 2016-July-12 Security risk: 22/25 ( Highly Critical) AC:None/A:None/CI:All/II:All/E:Theoretical/TD:All Vulnerability: Arbitrary PHP code execution Update: Release Annoucements The following modules have security releases that are now available, listed in order of severity. There are no more releases planned for
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く