オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 8 コアの重大脆弱性の修正バージョンが近日リリースの予定

Drupal セキュリティーチームからの連絡です(日本時間 2017/04/18(火)1:08 AM)

今回のセキュリティー勧告は Drupal 8 のセキュリティー アップデートに関する予告です。重要な問題を修正したバージョンが日本時間の 4 月 20 日(木)午前 2 時から 3 時の間にリリースされるので、必ず時間を確保してアップデートするようにとのことです。すべての D8 サイトに影響するわけではないものの、該当するサイトはリリース公開後、数時間から数日以内にその脆弱性を突かれる可能性があるとのことなのですぐに対応する必要があります。


Drupal 8 コアの重大な脆弱性を修正したバージョンが近日リリースの予定:PSA-2017-001

オンラインの原文: Drupal 8 core upcoming critical release PSA-2017-001

  • 勧告 ID: DRUPAL-PSA-2017-001
  • プロジェクト: Drupal コア
  • バージョン:8.x
  • 月日: 2017 年 04 月 17 日

概要

2017 年 4 月 19 日の 17:00 - 18:00 UTC(日本時間 4 月 20 日午前 2:00 - 3:00) に Drupal 8.3.x および 8.2.x の重大な脆弱性を修正するセキュリティー リリースが出される予定。通常、サポート対象外のマイナー リリース バージョンに対してはセキュリティー リリースを提供しないが、今回は潜在的な深刻度が高いため、8.2.x リリース版には、8.3.0 にアップデートできていなかったサイトに対する修正機能が含まれている。Drupal セキュリティー チームは、コアのアップデートを行うための時間をこの時間帯に必ず確保するよう強く勧める。それは、その脆弱性を突いた攻撃が数時間または数日以内に出てくることが予期されるため。セキュリティー リリース告知は通常の告知場所に発表される予定。

この脆弱性は、特定の構成・設定を備えたサイトのみに影響するものであり、すべての Drupal 8 サイトに影響を与えるものではない。また、脆弱性を突くには認証済みユーザーとしてアクセスする必要がある。2017 年 4 月 19 日に発表されるセキュリティー リリース告知では、どういう構成・設定が影響を受けるかが明確に示される予定。この脆弱性が自分のサイトに影響する場合はアップデートする必要がある。当日はこのアップデートをチェックするための時間を確保されたし。

この脆弱性については、セキュリティー チームも、そのメンバーも、また、Drupal に関連したいかなる企業も、セキュリティー ポリシーおよび責任ある公表のベスト プラクティスに沿って告知が行われるまでは、これ以上の情報を公表することはできない。

Drupal 7 コアには、この問題による影響はない。

コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。