Drupal は、コンテンツ管理システムにおける数か月前からの重大なセキュリティ欠陥に対して、10 万以上のウェブサイトが依然として脆弱であるという推定を軽視している。
開発者は木曜日、今週初めに数万のサイトがバージョン7.58で修正されておらず、そのためDrupalgeddon 2と呼ばれる攻撃に対して脆弱であると主張する報告があったが、これは誤った情報に基づいていたと述べた。
この数字は、セキュリティ研究者のトロイ・マーシュ氏が提示したもので、同氏はDrupalを使用している50万サイトを調査した結果に基づいている。マーシュ氏によると、観察された50万サイトのうち、11万5070サイトがDrupal 7の古いバージョンを使用しており、4月に発見されたリモートコード実行の脆弱性の影響を受ける可能性があるという。さらに13万4447サイトはリスクがないと判断され、22万5056サイトはどちらとも言えない状態だった。
「Alexaのトップ100万で発見された多数の脆弱なサイトには、米国の主要な教育機関や世界中の政府機関のウェブサイトが含まれていた」と、仮想通貨マイニングスクリプトの追跡で最もよく知られているマーシュ氏は書いている。
「パッチが適用されていない他の注目すべきサイトとしては、大手テレビネットワーク、多国籍マスメディア・エンターテイメント複合企業、そして有名なコンピューターハードウェアメーカー2社のサイトが見つかった。」
しかし、Drupalによると、これらの数値は誤った仮定に基づいているとのことです。同社のセキュリティチームは、研究者がサイトをスキャンするために使用した方法(Changelogファイルに記載されているバージョンを確認する方法)は、実際に実行されているDrupalのバージョンや、その脆弱性に対するパッチが適用されているかどうかを判断する信頼できる方法ではないと述べています。
数週間前にパッチを当てるように言われたDrupalのバグ?暗号通貨マイナーはあなたが気にしていないことを願っている
続きを読む
Drupalは、「Drupalセキュリティチームが問題を修正するために配布したパッチは広く使われたが、CHANGELOG.txtや他の場所で定義されたバージョン文字列には影響しなかった」と説明した。
「ベンダーが提供している他の緩和策もいくつかあり、これも CHANGELOG.txt には影響しませんが、サイトを保護することができます。」
一方、マーシュ氏はDrupalの見解を認めたが、自身の数字は支持すると述べた。
「11万5000のサイトが古いバージョンのDrupalを使用していることは分かっています。中には7年前のものもあるので、誰かが緩和パッチを適用した可能性はありますが、それを確認する方法はありません。確実なのは、50万のサイトで実際に脆弱性を悪用してみることです」と彼はThe Registerに語った。
しかし、それは違法なので、私は自分の調査結果を堅持します。すべてのサイトが脆弱であることを証明するために、このエクスプロイトやその亜種を実行するつもりはありません。事実は、11万5000のDrupalサイトが時代遅れであり、Drupalgeddon 2に限らず、他のエクスプロイトに対しても脆弱である可能性があるということです。®
