オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal コア 7.x&8.x 遠隔コード実行

Drupal セキュリティーチームからの連絡です(日本時間 2018/03/29(木)04:22 AM~)

先週、予告があったとおり、今週は Drupal コア(D7、D8)アップデートの勧告です。

Drupal コア 7.x、8.x


Drupal コア

オンラインの原文: Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002


概要

CVE: CVE-2018-7600

Drupal 7.x および 8.x における複数のサブシステム(構成要素)内に遠隔コード実行の脆弱性がある。このため、攻撃者は Drupal サイト上で複数の攻撃経路を利用できる。その結果、サイト全体が被害にあう可能性がある。

Drupal セキュリティー チームは、この問題について FAQ(よくある質問)ページを作成した。


解決方法

Drupal 7 または 8 の最新バージョンにアップデートする。

  • Drupal 7.x を使用している場合は Drupal 7.58 にアップデートする。すぐにアップデートできない場合は、脆弱性解消のため、一時的な措置として、このパッチを試すことも可能。
  • Drupal 8.5.x を使用している場合は Drupal 8.5.1 にアップデートする。すぐにアップデートできない場合は、脆弱性解消のため、一時的な措置として、このパッチを試すことも可能。

Drupal 8.3.x and 8.4.x はサポート対象外であり、本来ならそれらのサポート対象外マイナー リリースに対してセキュリティー リリースを提供することはない。しかし、今回の問題は潜在的にかなり深刻なため、まだ 8.5.0 にアップデートする機会のなかったサイトに対する改修を含めた 8.3.x および 8.4.x リリースも提供することにした。

8.3.x または 8.4.x を使用していても、管理画面の「利用可能なアップデート」ページでは「8.5.x リリースを推奨」となる。このセキュリティー アップデートをインストールしたあと、サポート対象のバージョンにアップデートする時間をとられたし。

この問題は Drupal 8.2.x および、それ以前のバージョンにも影響するが、それらはサポート対象外。これらのバージョンを使用している場合は、より新しいバージョンにアップデートし、上記の措置をとること。

また、この問題は Drupal 6 にも影響するが、Drupal 6 のサポートは終了している(End of Life)。Drupal 6 のサポートについては、D6LTS(Drupal 6 Long Term Support)サービス提供企業にコンタクトをとられたし。