※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Drupal は、オープンソースの CMS(コンテンツマネジメントシステム)です。
Drupal にはリモートから任意のコードが実行可能となる脆弱性が存在します。この脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
本脆弱性は RESTful Web Services 等の REST API を利用するモジュールを有効にしている場合に、影響を受ける可能性があります。
本脆弱性を悪用する攻撃コードが公開されております。また、Drupal のバージョンを調査する試みが確認されているとの情報があるため、至急、アップデートの実施をご検討下さい。
影響を受けるバージョン
- Drupal 8.6.10 より前の 8.6 系のバージョン
- Drupal 8.5.11 より前の 8.5 系のバージョン
※ Drupal 8.5.x より前の 8 系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7 系でも RESTful Web Services 等の REST API を利用するモジュールを有効にしている場合は本脆弱性の影響を受けるとのことです。
なお、8.4.x はすでにサポートが終了しているため、8.5.x、8.6.x の最新版へのアップデートを推奨いたします。
対策
脆弱性の解消 - アップデートする
8.5.x、8.6.x は開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。
参考情報
- Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003 - Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html - 【注意喚起】CMSのDrupal 、RCEで危険度の高い脆弱性(CVE-2019-6340)。至急、最新版への更新を
https://www.lac.co.jp/lacwatch/alert/20190225_001779.html
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
2019年02月26日 | 掲載 |
---|