オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 8 コア - 重大 - アクセス バイパス

Drupal セキュリティーチームからの連絡です(日本時間 2017/04/20(木)3:00 AM)

今回は一昨日、セキュリティー チームから予告のあった Drupal 8 のセキュリティー アップデートに関する勧告です。該当するサイトはすぐにアップデートする必要があります。


Drupal コア - 重大 - アクセス バイパス - SA-CORE-2017-002

オンラインの原文: Drupal Core - Critical - Access Bypass - SA-CORE-2017-002

  • 勧告 ID: SA-CORE-2017-002
  • プロジェクト: Drupal コア
  • バージョン:8.x
  • 月日:2017 年 04 月 19 日
  • CVEID:CVE-2017-6919
  • セキュリティーリスク: 17/25 (重大)
     AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:Default
  • 脆弱性:アクセス バイパス

概要

これはアクセス バイパスに関連した重大な脆弱性だが、サイトに影響するのは以下の条件がすべて当てはまる場合のみ。

  • RESTful Web Services(rest)モジュールが有効になっている
  • PATCH リクエストが許可されている
  • 該当するサイトで攻撃者がアカウントを取得または登録できる

通常、サポート対象外のマイナー リリース バージョンに対してはセキュリティー リリースを供給しないが、今回は潜在的な深刻度が高いため、8.3.0 にアップデートできていなかったサイトが安全にアップデートできるよう、8.2.x リリース版も提供する。


この影響を受けるバージョン

  • 8.2.8 および 8.3.1 よりも前の Drupal 8 バージョン
  • Drupal 7.x には影響なし。

解決方法

  • Drupal 8.2.7 またはそれ以前のバージョンを使用している場合は 8.2.8 にアップデートする。
  • Drupal 8.3.0 を使用している場合は 8.3.1 にアップグレードする。

 Drupal プロジェクト ページも参照


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。