ANNAIマガジン
セキュリティアップデートに関するANNAIの考え方
この記事の目次

詳細につきましては合わせて以下の記事もお読み下さい。

脆弱性SA-CORE-2018-002に関するFAQ
セキュリティアップデートに関するANNAIの考え方

SA-CORE-2018-002に関する対応につきまして

ANNAIが保守契約を実施している全ての公開システムにおいて、セキュリティアップデートはすでに完了しております。

Drupalでシステムを運営されている方々へ

今回の脆弱性はメンテナンスモードでは防ぐことはできません。すぐにアップデートができない場合は、以下のいずれかの対応を実施してください。

今回の脆弱性はBootstrapと呼ばれるDrupalがサイトへの全てのアクセスを処理する際の初期化処理の中に含まれています。Drupalをメンテナンスモードにした場合でも、サイトにアクセスがあるとこのBoostrapの処理が実施されるため、今回の脆弱性の対象となります。そのため、直ちにアップデートができない場合は、以下のいずれかの対応を実施してください。

  • WAF等の外部機器で今回の脆弱性を付くトラフィックを遮断する
  • IP制限、Basic認証、ダイジェスト認証などで「Drupalにアクセスする前」になんらかの認証をかける

Drupal 6用の修正パッチはこちら

Drupal 6はのセキュリティはDrupal 6 Long Term Supportプロジェクトで公開しています。

この記事を書いた人 : ANNAI株式会社

ANNAIは、2009年からDrupal専門のWebシステム開発会社として、世界規模で展開するグローバル企業や大学・自治体を中心に数多くのWebソリューションを提供。
CoreやModuleのコントリビューターなど、Drupalエキスパートが多数在籍。国内ユーザーコミュニティへも積極的にコミットし、定期的なセミナーの等の開催を通じて、オープンソース技術の普及や海外コミュニティとの緊密な連携を図っている。
Webシステムの企画・開発〜デザイン、クラウド運用までをワンストップで提供する他、Drupalのコーディングを評価する"Audit業務"や最適なモジュールの調査・選定等、幅広いコンサルティングを行っている。Drupalアソシエーション公式パートナー。

関連コンテンツ