ニュース
Drupalの脆弱性を突く攻撃を確認、直ちに対応を
Drupalの更新版(バージョン7.59、8.5.3、8.4.8)が公開された。既にこの脆弱性を突く攻撃が確認されていることから、まだ更新を済ませていないサイトは直ちに対応する必要がある。
オープンソースのコンテンツ管理システム(CMS)「Drupal」の脆弱性を修正する更新版が公開され、直後にこの脆弱性を突く攻撃が確認された。セキュリティチームでは、危険度を5段階評価で最も高い「Highly critical」に指定、管理者に対して直ちに対応するよう勧告している。
Drupalの4月25日付のセキュリティ情報によると、Drupal 7.xと8.xの複数のサブシステムに、リモートコード実行の脆弱性が存在する。悪用された場合、複数の攻撃経路を通じて攻撃を仕掛けられ、Drupalを使ったサイトを制御される恐れがある。
今回の脆弱性(CVE-2018-7602)は、2018年3月28日にリリースした更新版で対処した脆弱性(CVE-2018-7600)に関連したもので、いずれの脆弱性についても悪用が確認されているという。
脆弱性は、Drupalのバージョン7.59、8.5.3、8.4.8でそれぞれ修正された。Drupal 8.4.xについては既にサポートが終了しているものの、早期の解決を促すためにアップデートを提供。直ちに8.4.8に更新した後、できるだけ早く8.5.3に更新するよう呼び掛けた。
米セキュリティ機関SANS Internet Storm Centerによると、今回の脆弱性を突く悪用コードが、pastebinに公開されているという。ただし、この悪用コードは認証を必要とする。
関連記事
- Drupal、極めて重大な脆弱性を修正 直ちに対応を
現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあり、Drupalを使っているWebサイトは直ちにパッチを適用する必要がある。 - Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告
脆弱性は、数時間から数日中に悪用される可能性もある。問題の重大性を考慮して、既にサポートが終了している8.3.xと8.4.xも対象に含める。 - Drupalに極めて深刻な脆弱性、直ちに更新を
悪用された場合、細工を施したリクエストを使ってSQLインジェクション攻撃を仕掛けられる恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.