-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2014-0042
                                                             JPCERT/CC
                                                      2014-10-21(新規)
                                                      2014-11-04(更新)

                  <<< JPCERT/CC Alert 2014-10-21 >>>

                    Drupal の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140042.html


I. 概要

  Drupal には、SQL インジェクションの脆弱性があります。この脆弱性を使
用する事で、遠隔の第三者は任意の SQL コマンドを実行することが可能です。
結果として、影響を受けるバージョンの Drupal が稼働している Web サイト
を改ざんしたり、管理者アカウントを作成したりする可能性があります。

  JPCERT/CC で検証を行った結果、この脆弱性を用いて作成した Drupal の管
理者アカウントにて Drupal へログインを行い、モジュールの設定変更などを
行う事により Web サーバの実行権限で任意の PHP コードを実行できることを
確認しております。

  脆弱性の詳細については、Drupal の情報を確認してください。

    Drupal
    SA-CORE-2014-005 - Drupal core - SQL injection
    https://www.drupal.org/SA-CORE-2014-005


II. 対象

  以下のバージョンが本脆弱性の影響を受けます。

  - Drupal 7.31 およびそれ以前

  ※ Drupal 6 系は影響を受けないとのことです。


III. 対策

  Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

  修正済みのバージョンは、以下の通りです。

  - Drupal 7.32

** 更新: 2014年10月22日追記 ******************************************
  なお、Drupal より一時的な回避策として、修正パッチが提供されています
ので、修正済みバージョンの適用が困難な場合は、修正パッチの適用を検討し
てください。

    Drupal
    https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

**********************************************************************


IV. 参考情報

    Drupal Japan
    きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
    http://drupal.jp/node/706

    Drupal
    Drupal 7.32 released
    https://www.drupal.org/drupal-7.32

** 更新: 2014年10月22日追記 ****************************************
    Drupal
    SA-CORE-2014-005 - Drupal core - SQL injection
    https://www.drupal.org/SA-CORE-2014-005

    Drupal
    SA-CORE-2014-005-D7.patch
    https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

*********************************************************************

** 更新: 2014年11月04日追記 ****************************************
    Drupal Japan
    Drupal 7.32 で修正された脆弱性に関する注意喚起
    http://drupal.jp/PSA-2014-11-04

    Drupal
    Drupal Core - Highly Critical - Public  Service announcement - PSA-2014-003
    https://www.drupal.org/PSA-2014-003

*********************************************************************


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

- - - - ----------

改訂履歴
2014-10-21 初版
2014-10-22 対策、および参考情報を更新
2014-11-04 参考情報を更新

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJUWHT+AAoJEDF9l6Rp7OBIiYEH/jKUQqyh2EoPrmxMz+kIp8m9
ssQmhTxmispCkw7rRG0mO8LdQWzyZLIPCZhuWGAWw+q0GYN3f+859v2dgop/QHlO
2EKKoLFKtAMW3HimfKKJztPtzCTJ1W0hjN2DhVEG6/Snp907gFgIEe1BxphJKmRA
trR2str6taOyj2HgMSU0PGrYl2O1N68Wb6HQhOH/jZR64Eo4PgLOCw/md3RUusRL
s7vekvl9sCqrMybYrdSCcNqEE+6sEY7HTxKwhmOxARAy1U+7VaYWsOQRXPzJFVTU
L3CPtrB2kMLvMT5gnBmgjpDlp9ddjDPuUkjWgWubY8USoQagz3vqjJdcaFGxin8=
=clrl
-----END PGP SIGNATURE-----