- Japan Edition
- ZDNet is available in the following editions:
- Austrailia
- Asia
- China
- France
- Germany
- United Kingdom
- USA
- Blog
- ホワイトペーパー
- 企業情報センター
- アメリカ発
- builder by ZDNet Japan
- CNET Japan
- TechRepublic Japan
Drupalの脆弱性を悪用可能な実証コードが公開、攻撃発生に警戒
オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。
PoCが公開された脆弱性は、Drupalの開発チームが3月28日に公開したアップデートのDrupal 7.58および8.5.1で修正されたリモートコード実行の脆弱性「CVE-2018-7600」。脆弱性はDrupal 7.xおよび8.xの複数のサブシステムに存在し、悪用された場合はDrupalで管理するウェブサイトなどが侵害される恐れがある。開発チームはアップデートのリリース予告で、アップデート公開直後に攻撃が発生する可能性を指摘していた。
Check Pointによれば、Drupalで管理されたウェブサイトは世界に100万以上あり、政府機関や金融、小売などのエンタープライズ組織でも広く導入されている。同社では、PoCに基づいた攻撃シナリオについてもブログで紹介。またSANS ISCは、脆弱なサーバを探す攻撃の発生を確認したとしている。
Drupalの開発チームでは、既にサポートが終了している8.3.xおよび8.4.xについては臨時パッチを提供しており、ユーザーにこれらを適用した上で迅速に8.5.1へアップデートするよう勧告。脆弱性はDrupal 8.2.x以前の古いバージョンにも影響するが、臨時パッチは提供されず、最新版へのアップデートが必須となる。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。
