先月末に重大な脆弱性を修正するために慌てたあと、Drupal は再びその作業に着手した。
オープンソースのコンテンツ管理プロジェクトは、Drupalgeddon2 の以前のパッチを補強する、予定外のセキュリティ アップデートをリリースしました。
4 月中旬にはクロスサイトスクリプティングのバグに関する勧告もありました。
Drupal を稼働していますか? 今すぐパッチを適用する必要があります。
続きを読む
Drupalセキュリティチームによると、Drupalコアの最新の脆弱性(SA-CORE-2018-004、CVE-2018-7602)は、3月に確認されたSA-CORE-2018-002の脆弱性(CVE-2018-7600)に関連している。この脆弱性を悪用されると、ウェブサイトのサーバーが乗っ取られ、悪意のある人物による情報の窃取やページの改ざんが可能になる。
DrupalセキュリティチームのメンバーはThe Registerへのメールで「これはリモートコード実行の脆弱性です。それ以上の技術的な詳細は不明です」と説明した。
この脆弱性は少なくともDrupal 7.xとDrupal 8.xに影響します。また、Drupal Mediaモジュールでも同様の問題が発見されています。
Drupal プロジェクトの創設者である Dries Buytaert 氏は、今月初めの 3 月のパッチに関するブログ投稿で、すべてのソフトウェアにセキュリティ上の問題があり、重大なセキュリティ バグはまれであると述べています。
「Drupal セキュリティ チームがこれほど重大な Drupal コアのセキュリティ リリースを公開してからほぼ 4 年が経ちました」と彼は語った。
その差は現在4週間に縮まっています。
3月のバグが活発に悪用されている中、Drupalセキュリティチームは最新の脆弱性を悪用した事例は確認していないと述べています。しかし、すぐに悪用される可能性は低いでしょう。プロジェクトのメンテナンス担当者は、SA-CORE-2018-002の通知から約2週間後に自動攻撃の出現を確認しています。
修正するには、Drupal 7 または 8 コアの最新バージョンにアップグレードしてください。最新のコードは Drupal のウェブサイトで入手できます。
7.x をお使いの場合は、Drupal 7.59 へのアップグレードが必要です。8.5.x をお使いの場合は、最新バージョンの 8.5.3 が対象となります。
8.4.xをまだお使いの方は、8.4.8へのアップグレードをご利用いただけます。ただし、8.4.xはサポート対象外のマイナーリリースであるため、通常はセキュリティアップデートが提供されません。最後に、公式サポートが終了したDrupal 6をまだお使いの方は、こちらで非公式パッチが開発されています。
Drupal ユーザーは、多少の不満はあるものの、このリリースを冷静に受け止めているようだ。
「Drupal WednesdayはまるでWindowsのパッチ適用日みたいだ」とデザイナーのトム・ビンロス氏はTwitterでつぶやいた。「Drupalコアサイトのパッチ適用よりも、新しいものを作ることに時間を使いたい。」®
