編集部からのお知らせ
新着:記事選集「エッジコンピューティング」
PDF Report at ZDNet:「文章を書くAI」

Drupalの脆弱性を悪用可能な実証コードが公開、攻撃発生に警戒

ZDNet Japan Staff

2018-04-13 14:19

 オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。

 PoCが公開された脆弱性は、Drupalの開発チームが3月28日に公開したアップデートのDrupal 7.58および8.5.1で修正されたリモートコード実行の脆弱性「CVE-2018-7600」。脆弱性はDrupal 7.xおよび8.xの複数のサブシステムに存在し、悪用された場合はDrupalで管理するウェブサイトなどが侵害される恐れがある。開発チームはアップデートのリリース予告で、アップデート公開直後に攻撃が発生する可能性を指摘していた。

 Check Pointによれば、Drupalで管理されたウェブサイトは世界に100万以上あり、政府機関や金融、小売などのエンタープライズ組織でも広く導入されている。同社では、PoCに基づいた攻撃シナリオについてもブログで紹介。またSANS ISCは、脆弱なサーバを探す攻撃の発生を確認したとしている。

 Drupalの開発チームでは、既にサポートが終了している8.3.xおよび8.4.xについては臨時パッチを提供しており、ユーザーにこれらを適用した上で迅速に8.5.1へアップデートするよう勧告。脆弱性はDrupal 8.2.x以前の古いバージョンにも影響するが、臨時パッチは提供されず、最新版へのアップデートが必須となる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]