画像提供:マイナビニュース

写真拡大

Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起|(JPCERT/CCより)

JPCERT/CC(JPCERTコーディネーションセンター)は16日、オープンソースのCMS「Drupal」の脆弱性(CVE-2018-7600)に対する探索行為と思われる通信も確認しており、充分なテストを実施の上修正済みバージョンを適用するよう注意を促している。

CVE-2018-7600は、オープンソースのCMS「Drupal」にリモートから任意のコード実行が可能となる脆弱性で3月末に公表、同時にDrupalではセキュリティアドバイザリ情報(SA-CORE-2018-002)を公開している。脆弱性をの影響を受けるバージョンは、Drupal 8.5.1 より前のバージョン、7.58 より前のバージョン。6系、8.4系以前のバージョンも影響を受ける。

Drupalからは本脆弱性に対する修正済みのバージョンが出ており(サポート対象外である8.3系、8.4系を含む)、早期サポート対象バージョンへのアップデートが困難な場合は、充分なテストを実施の上、修正済みバージョンの適用を検討するよう呼びかけている。JPCERT/CCでは、本脆弱性を悪用した攻撃は確認していないが、攻撃のための探索行為と思われる通信を確認、また海外のハニーポット観測情報もあるとしている。

以下、修正バージョンリリースノートなど参考情報

Drupal

drupal 8.5.1

https://www.drupal.org/project/drupal/releases/8.5.1

Drupal

drupal 7.58

https://www.drupal.org/project/drupal/releases/7.58

Drupal

drupal 8.4.6

https://www.drupal.org/project/drupal/releases/8.4.6

Drupal

drupal 8.3.9

https://www.drupal.org/project/drupal/releases/8.3.9

Drupal

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

https://www.drupal.org/sa-core-2018-002

Drupal

FAQ about SA-CORE-2018-002

https://groups.drupal.org/security/faq-2018-002

US-CERT

Drupal Releases Critical Security Updates

https://www.us-cert.gov/ncas/current-activity/2018/03/28/Drupal-Releases-Critical-Security-Updates