※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Drupal は、オープンソースの CMS(コンテンツマネジメントシステム)です。
Drupal にはリモートから任意のコードが実行可能となる脆弱性が存在します。この脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
開発者はリリース後の数時間から数日以内に攻撃手法が開発される可能性があるとも予想しているため、対策を至急実施してください。
---2018/4/13 更新---
本脆弱性を悪用する攻撃コードが公開されました。対策済みのバージョンへのアップデートを大至急実施してください。
影響を受けるバージョン
- Drupal 6.x
- Drupal 7.58 および 8.5.1 より前のバージョン
対策
脆弱性の解消 - アップデートする
7.x、8.3.x、8.4.x、8.5.x は開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。また、6.x についても Drupal 6 Long Term Support プログラムにより修正版が公開されていますのでアップデートを実施してください。
なお、6.x、8.3.x、8.4.x はすでにサポートが終了しているため、7.x、8.5.x の最新版へのアップデートを推奨いたします。
参考情報
- Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
https://www.drupal.org/sa-core-2018-002 - FAQ about SA-CORE-2018-002
https://groups.drupal.org/security/faq-2018-002 - Drupal 6 Long Term Support
https://www.mydropwizard.com/blog/highly-critical-drupal-core-security-update-sa-core-2018-002-including-drupal-6 - JPCERT/CC
Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
https://www.jpcert.or.jp/at/2018/at180012.html
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター
E-mail:
更新履歴
| 2018年04月13日 | 概要:更新 |
|---|---|
| 2018年03月29日 | 掲載 |