Drupal Coreの深刻な脆弱性SA-CORE-2018-004

この記事は「 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004 」の翻訳です。

この記事の目次

こんにちは、「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」サポート担当の井上です。

drupal.orgのDrupal Coreの深刻な脆弱性SA-CORE-2018-004のセキュリティアドバイザリーの日本語訳です。

プロジェクト：Drupal core
日時：2018年4月25日
セキュリティリスク：極めて深刻 20∕25 AC:Basic/A:User/CI:All/II:All/E:Exploit/TD:Default
脆弱性：Remote Code Execution（リモートからのコード実行）

詳細

Drupal7.xおよび8.xのサブシステムにおいてリモートからのコードが実行可能な脆弱性が見つかりました。この脆弱性は潜在的に攻撃者が複数のattack vectorを悪用することを可能にします。そして、結果的にDrupalサイトをハッキングするのを可能にします。この脆弱性は「Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002」と関連しています。「SA-CORE-2018-002」および今回の脆弱性は悪用されている状態です。

対処法

最新のDrupal 7および、Drupal 8にアップデートしてください。

7.xをご利用の場合

Drupal 7.59にアップグレードしてください。

8.5.xをご利用の場合

Drupal 8.5.3にアップグレードしてください。

8.4.xをご利用の場合

Drupal 8.4.8にアップグレードしてください。
(Drupal 8.4.xはすでにサポート対象外です。そのため、通常ではセキュリティーリリースは提供されません。しかし、今回は極力早いアップデートを促すため、8.4.xへのアップデートをリリースします。直ちに8.4.8へアップデートを実施してください。その後、迅速に8.5.3もしくは最新の安全なリリースへのアップデートを実施してください。)

もし、直ちにアップデートができない場合や、まだ今回のセキュリティーリリースが公開されていないDrupalディストリビューションをご利用の場合は、アップデートが完了するまで今回の脆弱性を修正する以下のパッチを適用してください。

これらのパッチはSA-CORE-2018-002からの修正を適用済みの状態でのみ有効です。
(この修正を実施していない場合、すでにハッキングされている可能性があります。)