攻撃のための探索通信も確認、Drupal脆弱性への注意喚起-JPCERT/CC

ITニュース

Drupalの脆弱性(CVE-2018-7600)に関する注意喚起|(JPCERT/CCより)JPCERT/CC(JPCERTコーディネーションセンター)は16日、オープンソースのCMS「Drupal」の脆弱性(CVE-2018-7600)に対する探索行為と思われる通信も確認しており、充分なテストを実施の上修正済みバージョンを適用するよう注意を促している。

CVE-2018-7600は、オープンソースのCMS「Drupal」にリモートから任意のコード実行が可能となる脆弱性で3月末に公表、同時にDrupalではセキュリティアドバイザリ情報(SA-CORE-2018-002)を公開している。

脆弱性をの影響を受けるバージョンは、Drupal8.5.1より前のバージョン、7.58より前のバージョン。

6系、8.4系以前のバージョンも影響を受ける。

Drupalからは本脆弱性に対する修正済みのバージョンが出ており(サポート対象外である8.3系、8.4系を含む)、早期サポート対象バージョンへのアップデートが困難な場合は、充分なテストを実施の上、修正済みバージョンの適用を検討するよう呼びかけている。

JPCERT/CCでは、本脆弱性を悪用した攻撃は確認していないが、攻撃のための探索行為と思われる通信を確認、また海外のハニーポット観測情報もあるとしている。

以下、修正バージョンリリースノートなど参考情報Drupaldrupal8.5.1https://www.drupal.org/project/drupal/releases/8.5.1Drupaldrupal7.58https://www.drupal.org/project/drupal/releases/7.58Drupaldrupal8.4.6https://www.drupal.org/project/drupal/releases/8.4.6Drupaldrupal8.3.9https://www.drupal.org/project/drupal/releases/8.3.9DrupalDrupalcore-Highlycritical-RemoteCodeExecution-SA-CORE-2018-002https://www.drupal.org/sa-core-2018-002DrupalFAQaboutSA-CORE-2018-002https://groups.drupal.org/security/faq-2018-002US-CERTDrupalReleasesCriticalSecurityUpdateshttps://www.us-cert.gov/ncas/current-activity/2018/03/28/Drupal-Releases-Critical-Security-Updates(長岡弥太郎)

続きを見る

記事一覧に戻る

Contactー お問い合わせ ー

ご意見・ご相談、料金のお見積もりなど、お気軽にお問合わせください。