オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal コア 7.x&8.x、JSON API、Exif

Drupal セキュリティーチームからの連絡です(日本時間 2018/03/22(木)02:24 AM~)

今週は Drupal コア(D7、D8)アップデートの予告と拡張モジュール 2 つ(JSON API と Exif)の勧告です。今回はコアに関する記事だけを翻訳しました。モジュールについては原文をご覧ください。

コアおよびモジュール名(重大性スコア)使用サイト数


Drupal コア

オンラインの原文: Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001

  • 勧告 ID:DRUPAL-PSA-2018-001
  • プロジェクト:Drupal core
  • バージョン:8.x、7.x
  • 月日: 2018 年 03 月 21 日

概要

Drupal 7.x、8.3.x、8.4.x、8.5.x のセキュリティー リリースが日本時間 3 月 29 日(木)午前 3:00~4:30 2:00~3:30(2018/3/22 訂正、3/28 再訂正: 夏時間の影響はないと Drupal セキュリティー チームからの返事を得たため)(March 28th 2018 between 18:00 - 19:30 UTC)に公開される予定(本文書の公開から 1 週間後)。そのバージョンは極めて重大なセキュリティー脆弱性を解消することになる。Drupal セキュリティー チームは、その時刻にコア アップデートを行うための時間をみなさんが確保しておくよう強く求める。それは、その時刻から数時間ないし数日の間に脆弱性が悪用される可能性があるため。セキュリティー リリースの告知は Drupal.org のセキュリティー勧告ページに掲載される予定。

Drupal 8.3.x and 8.4.x はサポート対象外であり、本来ならそれらのサポート対象外マイナー リリースに対してセキュリティー リリースを提供することはない。しかし、今回の問題は潜在的にかなり深刻なため、まだ 8.5.0 にアップデートする機会のなかったサイトに対する改修を含めた 8.3.x および 8.4.x リリースも提供することにした。

Drupal セキュリティー チームは以下の対応を強く推奨する。

  • 8.3.x のサイトは、来週のセキュリティー勧告が発表されたら、そこに記載された 8.3.x リリースに即刻アップデートし、来月に入ったら最新の 8.5.x セキュリティー リリースにアップデートするよう、予定を組むこと。
  • 8.4.x のサイトも、来週のセキュリティー勧告が発表されたら、そこに記載された 8.4.x リリースに即刻アップデートし、来月に入ったら最新の 8.5.x セキュリティー リリースにアップデートするよう、予定を組むこと。
  • 7.x または 8.5.x のサイトは、来週のセキュリティー勧告が発表されたら、通常の手順で即刻アップデートすること。

セキュリティー勧告には、Drupal 8 の 3 つのブランチすべてに対して適切なバージョン番号が記載される予定。8.3.x または 8.4.x を使用していても、管理画面の「利用可能なアップデート」ページでは「8.5.x リリースを推奨」となるが、8.5.x にアップグレードすることによって起こり得る問題を心配することなく、8.3.x または 8.4.x のセキュリティー リリースへと即刻アップデートすることで対処可能。

セキュリティー チームも他の組織も、今回の脆弱性に関しては(来週の)告知があるまで、これ以上の情報は公開できない。告知記事は www.drupal.org/security、Twitter、そしてメーリングリスト登録者にはメールで通知される予定。メーリングリストに登録するには、drupal.org にログインし、My account > Profile タブ > Edit > My newsletters で Security announcements を有効にする。

今回の件について取材したいジャーナリストは security-press@drupal.org にメールを送れば報道向けのリリース(英語)を入手できる。セキュリティー チームは、コード リリースおよび勧告が出るのと同時に、報道向け要約メールも発信する予定。