ANNAIマガジン
脆弱性SA-CORE-2018-002に関するFAQ
この記事は「 FAQ about SA-CORE-2018-002 」の翻訳です。
この記事の目次

合わせて以下の記事も読み下さい。

ANNAIからのお知らせ 脆弱性SA-CORE-2018-002 に関しまして
セキュリティアップデートに関するANNAIの考え方

影響を受けるサイトの数は?

Drupal 8,7,6が対象となります。Drupal project usage informationの情報によると、影響を受けるサイトは100万サイト以上で、CMSで運用されているサイトの9%に相当します。

どのような脆弱性?

Drupalのセキュリティーアドバイザリーは、NIST Common Misuse Scoring Systemに基づきリスクの深刻さをスコアリングしています。リスクをスコアリングすることで、その深刻さを直感的に理解することが可能になります。

今回のSA-CORE-2018-002は25段階評価で21点と極めて深刻なリスクです。

もう少し詳しく説明すると以下の通りです

攻撃者はこの脆弱性を容易に悪用することができますか?
容易に悪用可能です。

ハッキングを行うのにどの程度の権限が必要ですか?
特に権限は必要ありません。サイトを閲覧可能な全てのユーザーがハッキング可能です。

今回の脆弱性は非公開データへのアクセスを可能にしますか?
非公開のデータ全てにアクセス可能です。

今回の脆弱性を悪用すると、システムデータに損害をもたらしますか?
全てのデータが改ざん、もしくは消去される可能性があります。

今回の脆弱性を狙うツール等は存在していますか?
理論上、もしくは善意に基づいたものは存在しますが、公になっているコードや開発中のドキュメントなどは見つかっていません。

何%ぐらいのユーザーが影響を受けますか?
一般的な通常のモジュール設定を行っているサイトでは影響を受けます。理論上はモジュールの設定を変更することで悪用されるリスクを低減する事は可能ですが、これには非常に大きな変更を伴います。そのため、セキュリティーチームとしてはサイトをアップグレードすることを最善の方法として推奨します。

今回の脆弱性の発見者は誰ですか?

この脆弱性はJasper Mattsson (Jasu_M)がDrupalのセキュリティに関する一般的なリサーチの過程で発見しました。JasperはDrupalのセキュリティ監査を含む様々なサービスを提供しているDruidで働いています。

過去に、Drupalのセキュリティ上の問題点は有志のリサーチャーや、有料のセキュリティ監査などで発見されています。セキュリティを懸念するサイトオーナーの方々はセキュリティ専門会社によるサイトレビューをお勧めします。

攻撃者は脆弱性のあるサイトでなにができますか?

脆弱性の悪用に成功すると、サイトに重大な影響を与えます。詳細はリスクスコアを参照してください。

今回の脆弱性は悪用されていますか?

現状、私たちの知る限りは悪用されていません。もし何らかの情報がある場合には、このFAQをアップデートします。サイトオーナーは今回の脆弱性が悪用されることを前提にして、直ちにサイトをアップデートするようにしてください。

サイトがハッキングされました。どうすべきでしょうか?

今回の脆弱性に起因するしないに関わらず、Guide for "hacked" sitesを参考にしてください。

Drupal 6でサイトを運営しているのですが、脆弱性の修正は可能ですか?

今回の脆弱性はDrupal 6も対象になります。Drupal 6 Long Term Supportで公開されているパッチが適用可能です。

サイトのセキュリティを向上させるために他にどのような方法がありますか?

以下のようなモジュールが利用可能です。

Drupal 8.0/8.1/8.2 でサイトを運用しています。修正は可能ですか?

新しいマイナーバージョンのリリース後は、以前のマイナーバージョンサポートの対象外となります。もし、サイトが8.3.8以前のリリースバージョンで運用されている場合は、他の公開済みの脆弱性の対象になります。そのため、最低でも直ちに8.3.9か8.4.6にアップデートする必要があります。その後、一か月以内に8.5.1にアップデートする計画を立ててください。

サイトがアップデートできない場合、問題を最小にするためにどうするべきですか?

いくつか方法はありますが、基本的にはどの方法も脆弱性が存在する状態のサイトを一般に公開しないことです。一時的にDrupalサイトを静的なHTMLサイトに置き換えることは有効な方法です。ステージングサイトや開発サイトにおいてはサイトを停止するか、Basic認証を設定してサイトへのアクセスを防ぐなどの方法があります。

この記事を書いた人 : Kentaro Inoue

ANNAI株式会社
経営企画室 室長
サービスの設計・企画、マーケティング、採用戦略の立案などを担当。普段は新潟で猫と一緒に、時々海外からリモートで働いています。好きなモジュールはRulesとFlagです。

関連コンテンツ