-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2018-0012
                                                             JPCERT/CC
                                                      2018-03-29(新規)
                                                      2018-04-16(更新)

                  <<< JPCERT/CC Alert 2018-03-29 >>>

           Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起

            https://www.jpcert.or.jp/at/2018/at180012.html


I. 概要
Drupal は 2018年3月28日 (現地時間) にセキュリティアドバイザリ情報
(SA-CORE-2018-002) を公開しました。公開された情報によると Drupal には、
リモートから任意のコードが実行可能となる脆弱性 (CVE-2018-7600) が存在
し、この脆弱性を悪用することで、遠隔の第三者が、非公開データを窃取した
り、システムデータを改変したりするなどの可能性があるとのことで
す。

脆弱性の詳細については、Drupal の情報を確認してください。

    Drupal
    Drupal core - Highly critical - Remote Code Execution  - SA-CORE-2018-002
    https://www.drupal.org/sa-core-2018-002

    Drupal
    FAQ about SA-CORE-2018-002
    https://groups.drupal.org/security/faq-2018-002

** 更新: 2018年04月16日追記 ******************************************
本脆弱性の実証コードが公開されており、JPCERT/CC においても次の環境下で
実証コードの確認をしております。

  - Drupal 8.5.0 (実証コードが動作する) / 8.5.1 (実証コードが動作しない)
  - PHP 7.0.27

JPCERT/CC では、本脆弱性を悪用した攻撃は確認していませんが、攻撃のため
の探索行為と思われる通信を確認しております。また、海外でも、ハニーポッ
トによる観測が伝えられています。

    Internet Storm Center
    Drupal CVE-2018-7600 PoC is Public
    https://isc.sans.edu/forums/diary/Drupal+CVE20187600+PoC+is+Public/23549/
**********************************************************************


II. 対象
次のバージョンが本脆弱性の影響を受けます。

  - Drupal 8.5.1 より前のバージョン
  - Drupal 7.58 より前のバージョン

※ サポートが既に終了している Drupal 6 系や Drupal 8.4 系以前も本脆弱
性の影響を受けるとのことです。


III. 対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

修正済みのバージョンは、次のとおりです。

  - Drupal 8.5.1
  - Drupal 7.58
  - Drupal 8.4.6
  - Drupal 8.3.9

なお、Drupal よりサポート対象外の Drupal 8.3 系および Drupal 8.4 系に
対しても、一時的な回避策として修正されたバージョンが提供されています。
早期のサポート対象バージョンへのアップデートが困難な場合は、修正済みバー
ジョンの適用を検討してください。


IV. 参考情報
    Drupal
    drupal 8.5.1
    https://www.drupal.org/project/drupal/releases/8.5.1

    Drupal
    drupal 7.58
    https://www.drupal.org/project/drupal/releases/7.58

    Drupal
    drupal 8.4.6
    https://www.drupal.org/project/drupal/releases/8.4.6

    Drupal
    drupal 8.3.9
    https://www.drupal.org/project/drupal/releases/8.3.9

    Drupal
    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
    https://www.drupal.org/sa-core-2018-002

    Drupal
    FAQ about SA-CORE-2018-002
    https://groups.drupal.org/security/faq-2018-002

    US-CERT
    Drupal Releases Critical Security Updates
    https://www.us-cert.gov/ncas/current-activity/2018/03/28/Drupal-Releases-Critical-Security-Updates


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

________
改訂履歴
2018-03-29 初版
2018-04-16 「I. 概要」を追記

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJa1AEOAAoJEDF9l6Rp7OBIjsQH/RI3QGnsWpOolkq+7vsViVfJ
RqYgOkUFTBac4szq6+7pKC4EgI+degeEcy33jxAro9BeTB3Vyw75S9MfVDD8Lc9D
Xqsyn7B6e1PpPWWxdRRSOL3bz2Tgz1OY8ktF7WksF+gNCx6ReOlockW25X6FiGV+
zE23nWukegPB2qtJd1DgAQoLInVjVNUpW7ld/JdA99kE4OBNb6VGwXbQMpNOwnd5
IROTrO77TFqYzThyGontr0tMJjHfAZ520zJJWPaL5lDF9EMNTX8EimpchEzkIEB2
8Uh8CpshrT6eG8kusRqo/ou8114R2UP+cJUFVfy7XQuinQ65Ez1qEThBOX6WBD4=
=VDIX
-----END PGP SIGNATURE-----