ニュース
Drupal、極めて重大な脆弱性を修正 直ちに対応を
現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあり、Drupalを使っているWebサイトは直ちにパッチを適用する必要がある。
オープンソースのコンテンツ管理システム(CMS)「Drupal」の更新版が3月28日に公開され、極めて重大な脆弱性が修正された。セキュリティチームでは、数時間から数日中に脆弱性を突く攻撃が発生する可能性もあるとして、Drupalを使っているWebサイトに対して直ちに対応するよう呼び掛けている。
Drupalのセキュリティ情報によると、Drupal 7.xと8.xの複数のサブシステムに、リモートコード実行の脆弱性が存在する。脆弱性は、複数の攻撃ベクトル経由で悪用することが可能で、Drupalを使ったサイトが攻撃者によって完全に制御される恐れもある。
この脆弱性は、Drupal 7.58と8.5.1でそれぞれ修正された。すぐに更新できない場合のためのパッチも提供されている。
また、既にサポートが終了している8.3.xと8.4.xについても、今回の問題の重大性を考慮してパッチを公開。8.3.xは8.3.9で、8.4.xは8.4.6で問題を修正したとしている。
なお、サポートが完全に打ち切られたDrupal 6も脆弱性の影響を受けるといい、対応については延長サポートのベンダーに連絡を取る必要がある。
今回の脆弱性は悪用が容易で、認証も不要、デフォルトの状態で攻撃される恐れがある。現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあるとセキュリティチームは警告している。
関連記事
- Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告
脆弱性は、数時間から数日中に悪用される可能性もある。問題の重大性を考慮して、既にサポートが終了している8.3.xと8.4.xも対象に含める。 - CMS「Drupal」のモジュールに極めて深刻な脆弱性、迅速対応を
数時間から数日中に脆弱性を突くコードの出現が見込まれ、できるだけ早く対応する必要がある。 - Drupalの脆弱性突く攻撃横行、「侵入されたと想定して対処を」
「日本時間の10月16日午前8時までにアップデートまたはパッチを適用しなかったDrupal 7サイトは、侵入されたと想定して対処しなければならない」とDrupalは警告している。 - Drupalに極めて深刻な脆弱性、直ちに更新を
悪用された場合、細工を施したリクエストを使ってSQLインジェクション攻撃を仕掛けられる恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.