-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0019
                                                             JPCERT/CC
                                                            2018-04-26

                  <<< JPCERT/CC Alert 2018-04-26 >>>

           Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180019.html


I. 概要
Drupal は 2018年4月25日 (現地時間) にセキュリティアドバイザリ情報
(SA-CORE-2018-004) を公開しました。公開された情報によると Drupal には、
リモートから任意のコードが実行可能となる脆弱性 (CVE-2018-7602) が存在
し、この脆弱性を悪用することで、遠隔の第三者が、システムデータを改変す
るなどの可能性があるとのことです。Drupal によると、この脆弱性はセキュ
リティアドバイザリ情報 (SA-CORE-2018-002) と関係し、既に悪用した攻撃を
確認しているとのことです。

脆弱性の詳細については、Drupal の情報を確認してください。

    Drupal
    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004
    https://www.drupal.org/sa-core-2018-004


II. 対象
次のバージョンが本脆弱性の影響を受けます。

  - Drupal 8.5.3 より前のバージョン
  - Drupal 7.59 より前のバージョン

※ サポートが既に終了している Drupal 8.4 系も本脆弱性の影響を受けるとのことです。


III. 対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

修正済みのバージョンは、次のとおりです。

  - Drupal 8.5.3
  - Drupal 7.59
  - Drupal 8.4.8

なお、Drupal よりサポート対象外の Drupal 8.4 系に対しても、一時的な回
避策として修正されたバージョンが提供されています。早期のサポート対象バー
ジョンへのアップデートが困難な場合は、修正済みバージョンの適用を検討し
てください。


IV. 参考情報
    Drupal
    drupal 8.5.3
    https://www.drupal.org/project/drupal/releases/8.5.3

    Drupal
    drupal 7.59
    https://www.drupal.org/project/drupal/releases/7.59

    Drupal
    drupal 8.4.8
    https://www.drupal.org/project/drupal/releases/8.4.8

    Drupal
    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004
    https://www.drupal.org/sa-core-2018-004

    Drupal
    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
    https://www.drupal.org/sa-core-2018-002

    US-CERT
    Drupal Releases Critical Security Updates
    https://www.us-cert.gov/ncas/current-activity/2018/04/25/Drupal-Releases-Critical-Security-Updates


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJa4V1cAAoJEDF9l6Rp7OBIC5kH/3CGO41ZAfRRZScf4c29b8cc
2RcYmfWCz+1lpzBXu2OcZeI8l1L339hNUUodd4tOmcBjalgMPjeTYZLkPxEkoIk2
OnEM6hmZRKhuv6AQ6d5YukAyD2JYUqHNSKv6rSbxK5NBmdHDpYV802pgrEJd/iqU
3Z5O/vKzPIZAhzcz3JQ2+2ymNzujqPJx5RHX9kJrA1jeGhwGR+s4Qf680XqC3kP+
Hfehcu2hlAwFUugIcSiqwzuS5sJIZDdbxvUSSlJmQ0Xm++rmP5+WuqU+qHFTfOhG
80cSgOPvAVUc/1qrUvz7kGFFCOPZA/3BkgOxK3CrN6H+dSyneSUXQZ73MAbEZVo=
=k56+
-----END PGP SIGNATURE-----