各位
JPCERT-AT-2014-0042
JPCERT/CC
2014-10-21(新規)
2014-11-04(更新)
<<< JPCERT/CC Alert 2014-10-21 >>>
Drupal の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140042.html
I. 概要
Drupal には、SQL インジェクションの脆弱性があります。この脆弱性を使
用する事で、遠隔の第三者は任意の SQL コマンドを実行することが可能です。
結果として、影響を受けるバージョンの Drupal が稼働している Web サイト
を改ざんしたり、管理者アカウントを作成したりする可能性があります。
JPCERT/CC で検証を行った結果、この脆弱性を用いて作成した Drupal の管
理者アカウントにて Drupal へログインを行い、モジュールの設定変更などを
行う事により Web サーバの実行権限で任意の PHP コードを実行できることを
確認しております。
脆弱性の詳細については、Drupal の情報を確認してください。
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- Drupal 7.31 およびそれ以前
※ Drupal 6 系は影響を受けないとのことです。
III. 対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
修正済みのバージョンは、以下の通りです。
- Drupal 7.32
** 更新: 2014年10月22日追記 ******************************************
なお、Drupal より一時的な回避策として、修正パッチが提供されています
ので、修正済みバージョンの適用が困難な場合は、修正パッチの適用を検討し
てください。
Drupal
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
**********************************************************************
IV. 参考情報
Drupal Japan
きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
http://drupal.jp/node/706
Drupal
Drupal 7.32 released
https://www.drupal.org/drupal-7.32
** 更新: 2014年10月22日追記 ****************************************
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
Drupal
SA-CORE-2014-005-D7.patch
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
*********************************************************************
** 更新: 2014年11月04日追記 ****************************************
Drupal Japan
Drupal 7.32 で修正された脆弱性に関する注意喚起
http://drupal.jp/PSA-2014-11-04
Drupal
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003
https://www.drupal.org/PSA-2014-003
*********************************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
- - - - ----------
改訂履歴
2014-10-21 初版
2014-10-22 対策、および参考情報を更新
2014-11-04 参考情報を更新
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ