Drupal、極めて重大な脆弱性を修正 直ちに対応を

[鈴木聖子，ITmedia]

Drupalの更新版が3月28日に公開された

　オープンソースのコンテンツ管理システム（CMS）「Drupal」の更新版が3月28日に公開され、極めて重大な脆弱性が修正された。セキュリティチームでは、数時間から数日中に脆弱性を突く攻撃が発生する可能性もあるとして、Drupalを使っているWebサイトに対して直ちに対応するよう呼び掛けている。

　Drupalのセキュリティ情報によると、Drupal 7.xと8.xの複数のサブシステムに、リモートコード実行の脆弱性が存在する。脆弱性は、複数の攻撃ベクトル経由で悪用することが可能で、Drupalを使ったサイトが攻撃者によって完全に制御される恐れもある。

　この脆弱性は、Drupal 7.58と8.5.1でそれぞれ修正された。すぐに更新できない場合のためのパッチも提供されている。

　また、既にサポートが終了している8.3.xと8.4.xについても、今回の問題の重大性を考慮してパッチを公開。8.3.xは8.3.9で、8.4.xは8.4.6で問題を修正したとしている。

　なお、サポートが完全に打ち切られたDrupal 6も脆弱性の影響を受けるといい、対応については延長サポートのベンダーに連絡を取る必要がある。

　今回の脆弱性は悪用が容易で、認証も不要、デフォルトの状態で攻撃される恐れがある。現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあるとセキュリティチームは警告している。