オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:services_views、html_title、ajax_facets、Alinks 8、baidu_analytics

Drupal セキュリティーチームからの連絡です(日本時間 2017/08/03(木)2:22 AM)

今回は拡張モジュールが 5 つです。

該当する拡張モジュールとその使用サイト数

  • services_views 全バージョン(サポート対象外): 9,607 sites (全バージョンの合計)
  • html_title 全バージョン(サポート対象外): 6,498 sites (全バージョンの合計)
  • ajax_facets 全バージョン(サポート対象外): 1,929 sites (全バージョンの合計)
  • Alinks 8.x (13/25 重大性中程度): 1,526 sites (全バージョンの合計)
  • baidu_analytics 全バージョン(サポート対象外): 197 sites (全バージョンの合計)

以下では使用サイトが比較的多い services_views と html_title に関する勧告の概要のみをご紹介します。その他のモジュールに関しては上記の原文をご覧ください。


services_views

オンラインの原文: services_views - Unsupported - SA-CONTRIB-2017-062

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-062
  • プロジェクト:services_views(サードパーティー モジュール)
  • バージョン:すべて
  • 月日: 2017 年 08 月 02 日

概要

services_views モジュールがあると、Services モジュールに views サポート機能が加わる。

セキュリティー チームはこのモジュールをサポート対象外に指定する。このモジュールには既知のセキュリティー問題があり、それがメンテナーによって解決されていない。このモジュールのメンテナンスをしたい場合は次のリンクを参照:https://www.drupal.org/node/251466

影響を受けるバージョン

  • すべてのバージョン

 Drupal コアには影響なし。拡張モジュール「services_views」を使用していない場合、何もする必要なし。

解決方法

  • services_views モジュールを使用している場合は、それをアンインストールするべき。

 services_views プロジェクト ページも参照。


html_title

オンラインの原文: html_title - Unsupported - SA-CONTRIB-2017-059

  • 勧告 ID:DRUPAL-SA-CONTRIB-2017-059
  • プロジェクト:html_title(サードパーティー モジュール)
  • バージョン:すべて
  • 月日: 2017 年 08 月 02 日

概要

html_title モジュールを利用すると、ノードのタイトルに、いくつかの HTML マークアップ(em, sub, sup, b, i, strong, cite, code, bdi, wbr)を使えるようになる。

セキュリティー チームはこのモジュールをサポート対象外に指定する。このモジュールには既知のセキュリティー問題があり、それがメンテナーによって解決されていない。このモジュールのメンテナンスをしたい場合は次のリンクを参照:https://www.drupal.org/node/251466

影響を受けるバージョン

  • すべてのバージョン

 Drupal コアには影響なし。拡張モジュール「html_title」を使用していない場合、何もする必要なし。

解決方法

  • html_title モジュールを使用している場合は、それをアンインストールするべき。

 html_title プロジェクト ページも参照。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。