-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2019-0010 JPCERT/CC 2019-02-26 <<< JPCERT/CC Alert 2019-02-26 >>> Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190010.html I. 概要 Drupal は 2019年2月20日 (現地時間) にセキュリティアドバイザリ情報 (SA-CORE-2019-003) を公開しました。公開された情報によると Drupal には、 REST API 等でリクエストされたデータに対する検証不備の脆弱性 (CVE-2019-6340) が存在するとされています。本脆弱性は RESTful Web Services 等の REST API を利用するモジュールを有効としている場合、影響を受ける可 能性があります。なお、RESTful Web Servicesは、デフォルトでは無効に設定 されています。 本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する 可能性があります。JPCERT/CC では、本脆弱性を実証するとされるコードを複 数確認しており、遠隔からの操作で、任意のコマンドが実行できることを確認 しております。 脆弱性の詳細については、Drupal の情報を確認してください。 Drupal Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003 https://www.drupal.org/sa-core-2019-003 Drupal SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22 https://www.drupal.org/psa-2019-02-22 II. 対象 脆弱性の影響を受けるバージョンおよび条件は次のとおりです。 [バージョン] - Drupal 8.6.10 より前の 8.6 系のバージョン - Drupal 8.5.11 より前の 8.5 系のバージョン [条件] Drupal のアドバイザリによると、次のようなモジュールが有効になっている 場合、影響を受けるとのことです。詳細は、Drupal のサイトを参照してくだ さい。 - Drupal 8系で "RESTful Web Services" モジュールを有効にしている - Drupal 8系で "JSON:API" モジュールを有効にしている - Drupal 7系で "RESTful Web Services" モジュールを有効にしている - Drupal 7系で "Services" モジュールを有効にしている ※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、今 回のセキュリティに関する情報は提供されていません。また、Drupal 7系でも 上記条件の場合は本脆弱性の影響を受けるとのことです。 III. 対策 Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。 十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。 修正済みのバージョンは、次のとおりです。 - Drupal 8.6.10 - Drupal 8.5.11 ※ Drupal 7系においては、修正済みのバージョンは公開されていません。 また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバー ジョンが提供されている場合は、モジュールの更新も実施してください。 IV. 参考情報 Drupal drupal 8.6.10 https://www.drupal.org/project/drupal/releases/8.6.10 Drupal drupal 8.5.11 https://www.drupal.org/project/drupal/releases/8.5.11 Drupal Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003 https://www.drupal.org/sa-core-2019-003 Drupal SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22 https://www.drupal.org/psa-2019-02-22 Drupal RESTful Web Services https://www.drupal.org/project/restws Drupal JSON:API https://www.drupal.org/project/jsonapi Drupal Services https://www.drupal.org/project/services 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-6271-8901 FAX: 03-6271-8908 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJcdKSLAAoJEDF9l6Rp7OBIn0YIAIYZZvSd1mG+abdXJ5duVrp2 K2THfx79JDhdwlSNfSJCXnjEl6d2wtuPNMPQPWmHPXK4qIk233l/dLinGWkxNdF7 TvZ/W1d+FXngDv9BNafJ/vj86so3SPm221TfAVYHdaSqYVKQ44b9vjYC1b+VtpZn +GE5hq3g46JOD9vsln8V8QU4KCzfRn1/nG6pS0uv4Gfq45HVvEDnzLnjCFV0xamQ Rg4KJx7HG0SQlY2bw5/wmGEh7nTzfZiTISQ1ultL/u85Askbp5hsoHOh4fMLNUKg 4A1/++wQ36A3H7eCt9AsemPEY7L5Xx+ZlzPrOgpJ6F4S1wRCxrXDuaDLhGL8DyU= =Cxv4 -----END PGP SIGNATURE-----