各位
Drupal の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140042.html
I. 概要
Drupal には、SQL インジェクションの脆弱性があります。この脆弱性を使用する事で、遠隔の第三者は任意の SQL コマンドを実行することが可能です。結果として、影響を受けるバージョンの Drupal が稼働している Web サイトを改ざんしたり、管理者アカウントを作成したりする可能性があります。
JPCERT/CC で検証を行った結果、この脆弱性を用いて作成した Drupal の管理者アカウントにて Drupal へログインを行い、モジュールの設定変更などを行う事により Web サーバの実行権限で任意の PHP コードを実行できることを確認しております。
脆弱性の詳細については、Drupal の情報を確認してください。
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- Drupal 7.31 およびそれ以前
※ Drupal 6 系は影響を受けないとのことです。
III. 対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
修正済みのバージョンは、以下の通りです。
- Drupal 7.32
** 更新: 2014年10月22日追記 ****************
なお、Drupal より一時的な回避策として、修正パッチが提供されていますので、修正済みバージョンの適用が困難な場合は、修正パッチの適用を検討してください。
Drupal
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
**************************************************
IV. 参考情報
Drupal Japan
きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
http://drupal.jp/node/706
Drupal
Drupal 7.32 released
https://www.drupal.org/drupal-7.32
** 更新: 2014年10月22日追記 ****************
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
Drupal
SA-CORE-2014-005-D7.patch
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
**************************************************
** 更新: 2014年11月04日追記 ****************
Drupal Japan
Drupal 7.32 で修正された脆弱性に関する注意喚起
http://drupal.jp/PSA-2014-11-04
Drupal
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003
https://www.drupal.org/PSA-2014-003
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
- - - - ----------
改訂履歴2014-10-21 初版2014-10-22 対策、および参考情報を更新2014-11-04 参考情報を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2014-0042
JPCERT/CC
2014-10-21(新規)
2014-11-04(更新)
JPCERT/CC Alert 2014-10-21
Drupal の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140042.html
I. 概要
Drupal には、SQL インジェクションの脆弱性があります。この脆弱性を使用する事で、遠隔の第三者は任意の SQL コマンドを実行することが可能です。結果として、影響を受けるバージョンの Drupal が稼働している Web サイトを改ざんしたり、管理者アカウントを作成したりする可能性があります。
JPCERT/CC で検証を行った結果、この脆弱性を用いて作成した Drupal の管理者アカウントにて Drupal へログインを行い、モジュールの設定変更などを行う事により Web サーバの実行権限で任意の PHP コードを実行できることを確認しております。
脆弱性の詳細については、Drupal の情報を確認してください。
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
II. 対象
以下のバージョンが本脆弱性の影響を受けます。
- Drupal 7.31 およびそれ以前
※ Drupal 6 系は影響を受けないとのことです。
III. 対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
修正済みのバージョンは、以下の通りです。
- Drupal 7.32
** 更新: 2014年10月22日追記 ****************
なお、Drupal より一時的な回避策として、修正パッチが提供されていますので、修正済みバージョンの適用が困難な場合は、修正パッチの適用を検討してください。
Drupal
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
**************************************************
IV. 参考情報
Drupal Japan
きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
http://drupal.jp/node/706
Drupal
Drupal 7.32 released
https://www.drupal.org/drupal-7.32
** 更新: 2014年10月22日追記 ****************
Drupal
SA-CORE-2014-005 - Drupal core - SQL injection
https://www.drupal.org/SA-CORE-2014-005
Drupal
SA-CORE-2014-005-D7.patch
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
**************************************************
** 更新: 2014年11月04日追記 ****************
Drupal Japan
Drupal 7.32 で修正された脆弱性に関する注意喚起
http://drupal.jp/PSA-2014-11-04
Drupal
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003
https://www.drupal.org/PSA-2014-003
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
- - - - ----------
改訂履歴2014-10-21 初版2014-10-22 対策、および参考情報を更新2014-11-04 参考情報を更新
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/