各位
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html
I. 概要Drupal は 2019年2月20日 (現地時間) にセキュリティアドバイザリ情報(SA-CORE-2019-003) を公開しました。公開された情報によると Drupal には、REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。本脆弱性は RESTful Web Services等の REST API を利用するモジュールを有効としている場合、影響を受ける可能性があります。なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。JPCERT/CC では、本脆弱性を実証するとされるコードを複数確認しており、遠隔からの操作で、任意のコマンドが実行できることを確認しております。
脆弱性の詳細については、Drupal の情報を確認してください。
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003
Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22
II. 対象脆弱性の影響を受けるバージョンおよび条件は次のとおりです。
[バージョン]
- Drupal 8.6.10 より前の 8.6 系のバージョン
- Drupal 8.5.11 より前の 8.5 系のバージョン
[条件]
Drupal のアドバイザリによると、次のようなモジュールが有効になっている場合、影響を受けるとのことです。詳細は、Drupal のサイトを参照してください。
- Drupal 8系で "RESTful Web Services" モジュールを有効にしている
- Drupal 8系で "JSON:API" モジュールを有効にしている
- Drupal 7系で "RESTful Web Services" モジュールを有効にしている
- Drupal 7系で "Services" モジュールを有効にしている
※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。
III. 対策Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
修正済みのバージョンは、次のとおりです。
- Drupal 8.6.10
- Drupal 8.5.11
※ Drupal 7系においては、修正済みのバージョンは公開されていません。
また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、モジュールの更新も実施してください。
IV. 参考情報
Drupal
drupal 8.6.10
https://www.drupal.org/project/drupal/releases/8.6.10
Drupal
drupal 8.5.11
https://www.drupal.org/project/drupal/releases/8.5.11
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003
Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22
Drupal
RESTful Web Services
https://www.drupal.org/project/restws
Drupal
JSON:API
https://www.drupal.org/project/jsonapi
Drupal
Services
https://www.drupal.org/project/services
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
JPCERT-AT-2019-0010
JPCERT/CC
2019-02-26
JPCERT/CC Alert 2019-02-26
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html
I. 概要Drupal は 2019年2月20日 (現地時間) にセキュリティアドバイザリ情報(SA-CORE-2019-003) を公開しました。公開された情報によると Drupal には、REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。本脆弱性は RESTful Web Services等の REST API を利用するモジュールを有効としている場合、影響を受ける可能性があります。なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。JPCERT/CC では、本脆弱性を実証するとされるコードを複数確認しており、遠隔からの操作で、任意のコマンドが実行できることを確認しております。
脆弱性の詳細については、Drupal の情報を確認してください。
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003
Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22
II. 対象脆弱性の影響を受けるバージョンおよび条件は次のとおりです。
[バージョン]
- Drupal 8.6.10 より前の 8.6 系のバージョン
- Drupal 8.5.11 より前の 8.5 系のバージョン
[条件]
Drupal のアドバイザリによると、次のようなモジュールが有効になっている場合、影響を受けるとのことです。詳細は、Drupal のサイトを参照してください。
- Drupal 8系で "RESTful Web Services" モジュールを有効にしている
- Drupal 8系で "JSON:API" モジュールを有効にしている
- Drupal 7系で "RESTful Web Services" モジュールを有効にしている
- Drupal 7系で "Services" モジュールを有効にしている
※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。
III. 対策Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
修正済みのバージョンは、次のとおりです。
- Drupal 8.6.10
- Drupal 8.5.11
※ Drupal 7系においては、修正済みのバージョンは公開されていません。
また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、モジュールの更新も実施してください。
IV. 参考情報
Drupal
drupal 8.6.10
https://www.drupal.org/project/drupal/releases/8.6.10
Drupal
drupal 8.5.11
https://www.drupal.org/project/drupal/releases/8.5.11
Drupal
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003
https://www.drupal.org/sa-core-2019-003
Drupal
SA-CORE-2019-003 Notice of increased risk and Additional exploit path - PSA-2019-02-22
https://www.drupal.org/psa-2019-02-22
Drupal
RESTful Web Services
https://www.drupal.org/project/restws
Drupal
JSON:API
https://www.drupal.org/project/jsonapi
Drupal
Services
https://www.drupal.org/project/services
今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
前
コメント
共 有
