アーカイブ

Drupal の脆弱性対策について(CVE-2019-6340)

最終更新日:2019年2月26日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Drupal は、オープンソースの CMS(コンテンツマネジメントシステム)です。

Drupal にはリモートから任意のコードが実行可能となる脆弱性が存在します。この脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

本脆弱性は RESTful Web Services 等の REST API を利用するモジュールを有効にしている場合に、影響を受ける可能性があります。

本脆弱性を悪用する攻撃コードが公開されております。また、Drupal のバージョンを調査する試みが確認されているとの情報があるため、至急、アップデートの実施をご検討下さい。

影響を受けるバージョン

  • Drupal 8.6.10 より前の 8.6 系のバージョン
  • Drupal 8.5.11 より前の 8.5 系のバージョン

    ※ Drupal 8.5.x より前の 8 系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7 系でも RESTful Web Services 等の REST API を利用するモジュールを有効にしている場合は本脆弱性の影響を受けるとのことです。

なお、8.4.x はすでにサポートが終了しているため、8.5.x、8.6.x の最新版へのアップデートを推奨いたします。

対策

脆弱性の解消 - アップデートする

8.5.x、8.6.x は開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別の環境に関するご質問を頂いても回答ができない場合があります。  詳しくは製品ベンダなどにお問合せください。

更新履歴

2019年02月26日 掲載