詳細につきましては合わせて以下の記事もお読み下さい。

「脆弱性SA-CORE-2018-002に関するFAQ」
「セキュリティアップデートに関するANNAIの考え方」

SA-CORE-2018-002に関する対応につきまして

ANNAIが保守契約を実施している全ての公開システムにおいて、セキュリティアップデートはすでに完了しております。

Drupalでシステムを運営されている方々へ

今回の脆弱性はメンテナンスモードでは防ぐことはできません。すぐにアップデートができない場合は、以下のいずれかの対応を実施してください。

今回の脆弱性はBootstrapと呼ばれるDrupalがサイトへの全てのアクセスを処理する際の初期化処理の中に含まれています。Drupalをメンテナンスモードにした場合でも、サイトにアクセスがあるとこのBoostrapの処理が実施されるため、今回の脆弱性の対象となります。そのため、直ちにアップデートができない場合は、以下のいずれかの対応を実施してください。

• WAF等の外部機器で今回の脆弱性を付くトラフィックを遮断する
• IP制限、Basic認証、ダイジェスト認証などで「Drupalにアクセスする前」になんらかの認証をかける

Drupal 6用の修正パッチはこちら

Drupal 6はのセキュリティはDrupal 6 Long Term Supportプロジェクトで公開しています。