ANNAIマガジン
この記事の目次

3/28にDrupalの脆弱性SA-CORE-2018-002が公開されました。今回発表された脆弱性は影響が大きく、Drupalでシステムを運営されている全ての方々に影響します。

詳細につきましては合わせて以下の記事もお読み下さい。

脆弱性SA-CORE-2018-002に関するFAQ
セキュリティアップデートに関するANNAIの考え方

SA-CORE-2018-002に関する対応につきまして

ANNAIが保守契約を実施している全ての公開システムにおいて、セキュリティアップデートはすでに完了しております。

Drupalでシステムを運営されている方々へ

今回の脆弱性はメンテナンスモードでは防ぐことはできません。すぐにアップデートができない場合は、以下のいずれかの対応を実施してください。

今回の脆弱性はBootstrapと呼ばれるDrupalがサイトへの全てのアクセスを処理する際の初期化処理の中に含まれています。Drupalをメンテナンスモードにした場合でも、サイトにアクセスがあるとこのBoostrapの処理が実施されるため、今回の脆弱性の対象となります。そのため、直ちにアップデートができない場合は、以下のいずれかの対応を実施してください。

  • WAF等の外部機器で今回の脆弱性を付くトラフィックを遮断する
  • IP制限、Basic認証、ダイジェスト認証などで「Drupalにアクセスする前」になんらかの認証をかける

Drupal 6用の修正パッチはこちら

Drupal 6はのセキュリティはDrupal 6 Long Term Supportプロジェクトで公開しています。