オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Drupal 7 & 8 コアの重大リリース、4 月 25 日(日本 4/26 午前)に公開

Drupal セキュリティーチームからの連絡です(日本時間 2018/04/24(木)02:09 AM)

今回は Drupal 7 および 8 コアのセキュリティー アップデートの予告です。

オンラインの原文: Drupal 7 and 8 core critical release on April 25th, 2018 PSA-2018-003

日本時間 4 月 26 日(木)午前 1:00~3:00(協定世界時 4 月 25 日(水)16:00~18:00)に Drupal 7.x、8.4.x、8.5.x のセキュリティー対応バージョンがリリースされる。この PSA(一般向けサービス告知)は、そのバージョンが通常のセキュリティー リリース スケジュールから外れていることの連絡。すべてのセキュリティー アップデートのため、Drupal セキュリティー チームは前述の時間帯にコア アップデートを行う時間を確保するよう強く勧める/求める。それは、該当する脆弱性の悪用方法が(リリース後)数時間から数日の間に開発される可能性があるため。セキュリティー リリース告知は drupal.org のセキュリティー勧告ページに掲載される。

このセキュリティー リリースは 3 月 28 日に公開された SA-CORE-2018-002 の補足バージョン。

  • Drupal 7.x または 8.5.x のサイトは上記の勧告が公開されたらすぐに通常の手順でアップデートすることができる。
  • Drupal 8.4.x のサイトは勧告と共に公開される予定の 8.4.8 にすぐアップデートするべき。そのあとで、できるだけ早く 8.5.3 またはそれ以降の最新セキュリティー リリースにアップデートするよう予定を立てるとよい(8.4.x は正式にはセキュリティー対応バージョンから外れたため)。

セキュリティー勧告には、各ブランチに合った適切なバージョン番号が一覧掲載される予定。8.4.x またはそれ以前のバージョンを使用している場合、管理画面のレポート(利用可能なアップデート)ページでは 8.5.x が推奨バージョンとして表示されることになる。しかし、現バージョンに対して提供されるバックポートへと一時的にアップデートしておけば、マイナー バージョン アップデートによる副作用(悪影響)なしで素早くアップデートすることが可能になる。

上述のバージョンに加えて、Drupal 7.x、8.4.x、8.5.x、8.6.x に対するパッチも提供される予定(8.4.x より古い Drupal 8 はセキュリティー対応の対象外でセキュリティー アップデートは入手できないので要注意。場合によっては上記のパッチが機能するかもしれないが、古いバージョンの Drupal には公開された他のセキュリティー脆弱性があるため、アップグレードすることを強く推奨)。

今回リリースされるバージョンではデータベースをアップデートする必要はない予定。

この問題の CVE 識別子は「CVE-2018-7602」。Drupal 独自の ID は「SA-CORE-2018-004」。

セキュリティー チームも他の組織も、今回の脆弱性に関しては(上述の)告知があるまで、これ以上の情報は公開できない。告知記事は www.drupal.org/security、Twitter、そしてメーリングリスト登録者にはメールで通知される予定。メーリングリストに登録するには、drupal.org にログインし、My account > Profile タブ > Edit > My newsletters で Security announcements を有効にする。

今回の件について取材したいジャーナリストは security-press@drupal.org にメールを送れば報道向けのリリース(英語)を入手できる。セキュリティー チームは、コード リリースおよび勧告が出るのと同時に、報道向け要約メールも発信する予定。