完全な機能を持つコンテンツ管理フレームワークである Drupal で、2 つの脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトでは、次の問題を特定しています：

- CVE-2014-9015 Aaron Averill 氏は、特別に細工されたリクエストが別のユーザーのセッションにユーザーアクセスを与え、これによって攻撃者がランダムセッションをハイジャックできる可能性があることを発見しました。

- CVE-2014-9016 Michael Cullum 氏、Javier Nieto 氏、Andres Rojas Guerrero 氏は、パスワードハッシュ化 API によって、攻撃者が特別に細工されたリクエストを送信し、これによって CPU およびメモリを使い果たす可能性があることを発見しました。これにより、サイトが利用できなくなったり、応答しなくなったり（サービス拒否）する可能性があります。

これらの脆弱性に影響を受けるかどうかを検証するためにも、カスタム構成された session.inc および password.inc を監査する必要があります。詳細については、次の upstream アドバイザリを参照してください

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 7.34 より前の Drupal 7.x および Drupal 用の 6.x-2.1 より前の Secure Password Hashes別名 phpassモジュール 6.x-2.x のパスワードハッシュ化 API により、リモートの攻撃者がサービス拒否CPU およびメモリを引き起こす可能性があります。サービス拒否 (消費) を引き起こす可能性があります。CVE-2014-9016

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Drupal 7.34、2014-11-19

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

更新 drupal パッケージは、セキュリティの脆弱性を修正します。

情報漏洩の脆弱性が、7.27 より前の Drupal で見つかりました。匿名ユーザーに対してページがキャッシュされると、匿名ユーザーの間でフォーム状態が漏洩される場合があります。ある匿名ユーザー用に記録された機密情報やプライベート情報が、同時に同じフォームでやりとりしているその他のユーザーに漏洩される可能性があります（CVE-2014-2983）。

サービス拒否の問題、ファイルモジュールでのアクセスバイパスの問題、複数のクロスサイトスクリプティングの問題を含む、7.29 より前の Drupal での複数のセキュリティの問題（CVE-2014-5019、CVE-2014-5020、CVE-2014-5021、CVE-2014-5022）。

一般にアクセス可能な XML-RPC エンドポイントでの XML エンティティの拡張により、7.31 より前の Drupal にサービス拒否の問題が存在します。

Drupal コアが準備されたステートメントを処理する方法により、7.32 より前の Drupal に SQL インジェクションの問題が存在します。悪意のあるユーザーが、任意の SQL クエリを注入し、Drupal サイトを完全にコントロールする可能性があります。
この脆弱性が、認証を必要とせずに、リモートの攻撃者によって悪用される可能性があります（CVE-2014-3704）。

Aaron Averill 氏は、特別に細工されたリクエストが別のユーザーのセッションにユーザーアクセスを与え、これによって攻撃者がランダムセッションをハイジャックできる可能性があることを見つけました（CVE-2014-9015）。

Michael Cullum 氏、Javier Nieto 氏、Andres Rojas Guerrero 氏は、パスワードハッシュ化 API によって、攻撃者が特別に細工されたリクエストを送信し、これによって CPU およびメモリを使い果たす可能性があることを見つけました。これによって、サイトが利用できなくなったり、応答しなくなったり（サービス拒否）する可能性があります（CVE-2014-9016）。匿名ユーザー（CVE-2014-9016）。

パスワードリセットの URL が特定の状況で偽装され、これによって攻撃者が、アカウントのパスワードを知らなくても、別のユーザーのアカウントへアクセスできるようになる可能性があります（CVE-2015-2559）。

特定の状況で、悪意のあるユーザーが URL を構築し、それによって他のユーザーをサードパーティの Web サイトにリダイレクトし、ソーシャルエンジニアリング攻撃に晒す可能性があります。さらに、Drupal 6 および 7 のいくつかの URL 関連の API 関数が意図していないときに外部 URL を通過するように騙されて、さらなるオープンリダイレクトの脆弱性につながる可能性があります（CVE-2015-2749、CVE-2015-2750）。

drupal パッケージがバージョン 7.35 に更新され、この問題およびその他のバグが修正されています。詳細は、upstream アドバイザリおよびリリースノートを参照してください。

リモート Web サーバーが、 6.34 より前の 6.x または 7.34 より前の 7.x のバージョンの Drupal を実行しています。このため、以下の脆弱性の影響を受ける可能性があります。

- 特別に細工されたリクエストを処理する際に誘発される、詳細不明な欠陥が存在するため、リモートの攻撃者は、セッションハイジャック攻撃を仕掛けることができる可能性があります。
 （CVE-2014-9015）

- パスワードハッシュ化 API に、特別に細工されたリクエストを処理する際に誘発される欠陥が存在します。攻撃者はこれを利用して、リソースを消費し、サービス拒否を引き起こす可能性があります。この問題は、バージョン 7.34 より前の Drupal にのみ存在します。（CVE-2014-9016）

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
79362	Debian DSA-3075-1：drupal7 - セキュリティ更新	Nessus	Debian Local Security Checks	2014/11/21	2021/1/11	medium
244970	Linux Distros のパッチ未適用の脆弱性: CVE-2014-9016	Nessus	Misc.	2025/8/7	2025/8/7	high
79775	Fedora 21：drupal7-7.34-1.fc21（2014-15583）	Nessus	Fedora Local Security Checks	2014/12/7	2021/1/11	medium
82456	Mandriva Linux セキュリティアドバイザリ：drupal（MDVSA-2015:181）	Nessus	Mandriva Local Security Checks	2015/3/31	2021/1/14	high
79386	Drupal 6.x < 6.34 / 7.x < 7.34 の複数の脆弱性	Nessus	CGI abuses	2014/11/21	2022/4/11	medium
79677	Fedora 19：drupal7-7.34-1.fc19（2014-15522）	Nessus	Fedora Local Security Checks	2014/12/3	2021/1/11	medium
79679	Fedora 20：drupal7-7.34-1.fc20（2014-15528）	Nessus	Fedora Local Security Checks	2014/12/3	2021/1/11	medium

検出

プラグインの検索

medium

high

medium

high

medium

medium

medium