Drupalに深刻な脆弱性--サイトの乗っ取りやリモートコード実行につながる可能性

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2016-07-15 10:30

 Drupalのコンテンツ管理システムに、サイトの乗っ取りやリモートからのコード実行につながる可能性がある、危険度の高い脆弱性が存在することが明らかになった。ユーザーは一刻も早くアップデートを行う必要がある。

 「Drupal」は「Wordpress」と「Joomla」に次ぐ人気を誇るウェブサイトのコンテンツ管理システム(CMS)で、少なくとも100万のサイトで使用されている。ただし、DrupalはEコマースの機能が充実していることからビジネスユーザーが多く、世界のトップ1万のウェブサイトのうち、約9%で利用されている。

 米国時間7月13日、Drupalのセキュリティチームは、リモートからコードが実行される可能性がある「危険度が高い」複数の脆弱性について情報を開示した。少なくとも1万3000サイトが影響を受ける。これらの脆弱性は、脆弱性が存在する特定のモジュールを使用することで発生する。

 事態を悪くしているのは、問題のあるモジュールをホストしているドメインでは、あらゆる閲覧者にウェブサイトを乗っ取られる可能性があることだ。

 問題があるモジュールの1つは、REST APIを提供するのに使用されている「RESTWS」ツールで、現在は5800以上のサイトにインストールされている。このモジュールを通じて脆弱性が悪用された場合、攻撃者はサイト上で任意のPHPコードを実行できる。この問題は、セキュリティ専門家のDevin Zuczeck氏によって発見された。

 コードの分析に使用されている「Coder」モジュールにも脆弱性があり、こちらは5000弱のサイトで使用されている。Nicky Bloor氏によって報告されたこの「危険度が極めて高い」セキュリティホールは、PHPスクリプトに対するユーザーの入力が検証されていないことが原因で、悪用されるとリモートからコードを実行される可能性がある。このモジュールは、設定で有効になっていなくても悪用できる。

 脆弱性が存在するもう1つのモジュールは、「Webform Multiple File Upload」システムだ。DrupalセキュリティチームのBen Dougherty氏によって発見されたこの「危険度が高い」セキュリティホールは、ドメインで特定のライブラリが使用されていると悪用可能で、リモートからコードを実行される危険がある。ただし、この問題を悪用するには、攻撃者が「Multiple File Input」フィールドを使用したウェブフォームを送信する必要がある。

 これらの脆弱性は最新版では修正されており、Drupalユーザーはウェブサイトをただちにアップデートすることが望ましい。

 Drupalは2月にも10件の重大なバグを修正するアップデートを公開しており、それらのバグのいくつかには、リモートからのコード実行やウェブサイトの乗っ取りを引き起こす可能性があった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]