JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > Drupal の脆弱性に関する注意喚起

最終更新: 2014-11-04

Drupal の脆弱性に関する注意喚起


各位

                                                   JPCERT-AT-2014-0042
                                                             JPCERT/CC
                                                      2014-10-21(新規)
                                                      2014-11-04(更新)

                  <<< JPCERT/CC Alert 2014-10-21 >>>

                    Drupal の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140042.html


I. 概要

  Drupal には、SQL インジェクションの脆弱性があります。この脆弱性を使
用する事で、遠隔の第三者は任意の SQL コマンドを実行することが可能です。
結果として、影響を受けるバージョンの Drupal が稼働している Web サイト
を改ざんしたり、管理者アカウントを作成したりする可能性があります。

  JPCERT/CC で検証を行った結果、この脆弱性を用いて作成した Drupal の管
理者アカウントにて Drupal へログインを行い、モジュールの設定変更などを
行う事により Web サーバの実行権限で任意の PHP コードを実行できることを
確認しております。

  脆弱性の詳細については、Drupal の情報を確認してください。

    Drupal
    SA-CORE-2014-005 - Drupal core - SQL injection
    https://www.drupal.org/SA-CORE-2014-005


II. 対象

  以下のバージョンが本脆弱性の影響を受けます。

  - Drupal 7.31 およびそれ以前

  ※ Drupal 6 系は影響を受けないとのことです。


III. 対策

  Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

  修正済みのバージョンは、以下の通りです。

  - Drupal 7.32

** 更新: 2014年10月22日追記 ******************************************
  なお、Drupal より一時的な回避策として、修正パッチが提供されています
ので、修正済みバージョンの適用が困難な場合は、修正パッチの適用を検討し
てください。

    Drupal
    https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

**********************************************************************


IV. 参考情報

    Drupal Japan
    きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
    http://drupal.jp/node/706

    Drupal
    Drupal 7.32 released
    https://www.drupal.org/drupal-7.32

** 更新: 2014年10月22日追記 ****************************************
    Drupal
    SA-CORE-2014-005 - Drupal core - SQL injection
    https://www.drupal.org/SA-CORE-2014-005

    Drupal
    SA-CORE-2014-005-D7.patch
    https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

*********************************************************************

** 更新: 2014年11月04日追記 ****************************************
    Drupal Japan
    Drupal 7.32 で修正された脆弱性に関する注意喚起
    http://drupal.jp/PSA-2014-11-04

    Drupal
    Drupal Core - Highly Critical - Public  Service announcement - PSA-2014-003
    https://www.drupal.org/PSA-2014-003

*********************************************************************


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

- - - - ----------

改訂履歴
2014-10-21 初版
2014-10-22 対策、および参考情報を更新
2014-11-04 参考情報を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english