Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

2018-03-29
Highly Critical
コア

2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。

セキュリティチームはこの件についてのFAQ を作成しました。

==解決方法==
Drupal 7、8コア最新版へのアップグレード

・7.xをお使いの場合、Drupal7.58にアップグレードしてください。(すぐにアップデートできない場合は完全にアップデートできるようになるまでこのパッチを使い脆弱性修正をお試しください)

・8.5xをお使いの場合、Drupal8.5.1にアップグレードしてください。(すぐにアップデートできない場合は完全にアップデートできるようになるまでこのパッチを使い脆弱性修正をお試しください)

Drupal 8.3.x and 8.4.x はすでにサポートの対象ではなく、当社は通常サポート対象ではないマイナーリリースに対してはセキュリティリリースを行っておりません。しかしながら本件の重大さに鑑み当社は、8.5.0へのアップデートがお済みでないサイトの修正ができる8.3.x 及び8.4.xリリースを提供しております。

サイトのアップデートレポートページは 8.3.x あるいは 8.4.xをお使いの場合でも8.5.x を推奨するでしょう。このセキュリティアップデートのインストール後、お時間のある時にサポート対象となっているバージョンにアップデートなさってください。

・8.3.xをお使いの場合、 Drupal 8.3.9 にアップデートするか、このパッチをご利用ください。

・8.4.xをお使いの場合、 Drupal8.4.6 にアップデートするか、このパッチをご利用ください。

本件はすでにサポートが終了しているDrupal8.2.xとそれ以前のバージョンにも影響します。Drupal8のこれらのバージョンをお使いの場合はより新しいバージョンにアップデートし、引き続き上記の手順を実行してください。

本件は、すでに生産・販売を終了している Drupal6にも影響します。Drupal6に関するサポートにつきましてはD6LTS 販売業者にご連絡ください。

==ご連絡と詳細について==
Drupal セキュリティチームには、drupal.orgのセキュリティセクション、あるいはコンタクトフォームからメールにてご連絡いただけます。

Drupalのセキュリティコードを入力しサイトを保護しつつ、Drupalセキュリティチームとそのポリシーの詳細をご確認ください。

==元記事==
https://www.drupal.org/sa-core-2018-002