更新日:
Kentaro Inoue
合わせて以下の記事も読み下さい。
「ANNAIからのお知らせ 脆弱性SA-CORE-2018-002 に関しまして」
「セキュリティアップデートに関するANNAIの考え方」
影響を受けるサイトの数は?
Drupal 8,7,6が対象となります。Drupal project usage informationの情報によると、影響を受けるサイトは100万サイト以上で、CMSで運用されているサイトの9%に相当します。
どのような脆弱性?
Drupalのセキュリティーアドバイザリーは、NIST Common Misuse Scoring Systemに基づきリスクの深刻さをスコアリングしています。リスクをスコアリングすることで、その深刻さを直感的に理解することが可能になります。
今回のSA-CORE-2018-002は25段階評価で21点と極めて深刻なリスクです。
もう少し詳しく説明すると以下の通りです
攻撃者はこの脆弱性を容易に悪用することができますか?
容易に悪用可能です。
ハッキングを行うのにどの程度の権限が必要ですか?
特に権限は必要ありません。サイトを閲覧可能な全てのユーザーがハッキング可能です。
今回の脆弱性は非公開データへのアクセスを可能にしますか?
非公開のデータ全てにアクセス可能です。
今回の脆弱性を悪用すると、システムデータに損害をもたらしますか?
全てのデータが改ざん、もしくは消去される可能性があります。
今回の脆弱性を狙うツール等は存在していますか?
理論上、もしくは善意に基づいたものは存在しますが、公になっているコードや開発中のドキュメントなどは見つかっていません。
何%ぐらいのユーザーが影響を受けますか?
一般的な通常のモジュール設定を行っているサイトでは影響を受けます。理論上はモジュールの設定を変更することで悪用されるリスクを低減する事は可能ですが、これには非常に大きな変更を伴います。そのため、セキュリティーチームとしてはサイトをアップグレードすることを最善の方法として推奨します。
今回の脆弱性の発見者は誰ですか?
この脆弱性はJasper Mattsson (Jasu_M)がDrupalのセキュリティに関する一般的なリサーチの過程で発見しました。JasperはDrupalのセキュリティ監査を含む様々なサービスを提供しているDruidで働いています。
過去に、Drupalのセキュリティ上の問題点は有志のリサーチャーや、有料のセキュリティ監査などで発見されています。セキュリティを懸念するサイトオーナーの方々はセキュリティ専門会社によるサイトレビューをお勧めします。
攻撃者は脆弱性のあるサイトでなにができますか?
脆弱性の悪用に成功すると、サイトに重大な影響を与えます。詳細はリスクスコアを参照してください。
今回の脆弱性は悪用されていますか?
現状、私たちの知る限りは悪用されていません。もし何らかの情報がある場合には、このFAQをアップデートします。サイトオーナーは今回の脆弱性が悪用されることを前提にして、直ちにサイトをアップデートするようにしてください。
サイトがハッキングされました。どうすべきでしょうか?
今回の脆弱性に起因するしないに関わらず、Guide for "hacked" sitesを参考にしてください。
Drupal 6でサイトを運営しているのですが、脆弱性の修正は可能ですか?
今回の脆弱性はDrupal 6も対象になります。Drupal 6 Long Term Supportで公開されているパッチが適用可能です。
サイトのセキュリティを向上させるために他にどのような方法がありますか?
以下のようなモジュールが利用可能です。
- セキュリティ上弱い設定項目を指摘する、The Security Review
- ログインのセキュリティを高める2 Factor Auth
- より強固なパスワードを強制するPassword Strength
- セキュリティを高める様々なツールを提供するParanoia
Drupal 8.0/8.1/8.2 でサイトを運用しています。修正は可能ですか?
新しいマイナーバージョンのリリース後は、以前のマイナーバージョンサポートの対象外となります。もし、サイトが8.3.8以前のリリースバージョンで運用されている場合は、他の公開済みの脆弱性の対象になります。そのため、最低でも直ちに8.3.9か8.4.6にアップデートする必要があります。その後、一か月以内に8.5.1にアップデートする計画を立ててください。
サイトがアップデートできない場合、問題を最小にするためにどうするべきですか?
いくつか方法はありますが、基本的にはどの方法も脆弱性が存在する状態のサイトを一般に公開しないことです。一時的にDrupalサイトを静的なHTMLサイトに置き換えることは有効な方法です。ステージングサイトや開発サイトにおいてはサイトを停止するか、Basic認証を設定してサイトへのアクセスを防ぐなどの方法があります。
この記事を書いた人: Kentaro Inoue
ANNAI株式会社
マーケティングマネージャー
サービスの設計・企画、マーケティング、採用戦略の立案などを担当。普段は新潟で猫と一緒に、時々海外からリモートで働いています。好きなモジュールはRulesとFlagです。
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2024-001)
- Drupal Core の脆弱性について (SA-CORE-2023-006)
- Drupal 導入前に必ず考えたい「保守」のこと
- Drupal Core の脆弱性について (SA-CORE-2023-005)
- Drupal Core の脆弱性について (SA-CORE-2023-004)
- Drupal Core の脆弱性について (SA-CORE-2023-003)
- Drupal Core の脆弱性について (SA-CORE-2023-002)
- Drupal Core の脆弱性について (SA-CORE-2023-001)
- Drupal Core の脆弱性について (SA-CORE-2022-016)
- Drupal Core の脆弱性について (SA-CORE-2022-015)
Drupal 初心者講座バックナンバー
-
Drupal 9/10 初心者講座
-
第 1 回 歴史に見る Drupal の DNA
-
第 2 回 Drupal はフレームワークか?CMS か?他の CMS との比較
-
第 3 回 Drupal の特徴
-
第 4 回 Drupal 9 / 10 のインストール (1)
-
第 5 回 Drupal 9 / 10 のインストール (2)
-
第 6 回 Drupal にコンテンツを投稿してみる
-
第 7 回 Drupal のボキャブラリとタクソノミーの使い方
-
第 8 回 コンテンツ管理における Drupal と他の CMS との比較
-
第 9 回 Drupal のブロックシステム
-
第 10 回 Drupal の標準クエリビルダー Views の使い方
-
第 11 回 Drupal と他の CMS のクエリビルダー機能を比較
-
第 12 回 Drupal の多言語機能と他の CMS やサービスとの比較
-
第 13 回 Drupal の権限設定と WordPress や Movable Type との比較
-
第 14 回 Drupal のテーマシステムについて
-
第 15 回 Drupal の拡張モジュールの選定と使い方
-
第 16 回 Drupal をもっと知りたい方に向けた各種情報