Drupal 7 and 8 core critical release on April 25th, 2018 PSA-2018-003

2018-04-25
Critical
コア

2018年4月23日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

==概要==
2018年4月25日UTC (協定世界時) 16:00 - 18:00にDrupal 7.x、8.4.x、8.5.x のセキュリティリリースが行われる予定です。
このPSAはDrupalコアのリリースはセキュリティリリースの正規スケジュールが組まれている時間外に行われるとお知らせするためのものです。
全てのセキュリティアップデートについて言えることですが、Drupalセキュリティチームは、上記時間帯にコアのアップデートをする場合には時間の余裕をもって行うことをお勧めします。
アップデートに数時間あるいは数日かかるおそれがあるからです。セキュリティリリースはDrupal.org のセキュリティ・アドバイザリーのページに告知されます。

今回のセキュリティリリースは3月28日にリリースされたSA-CORE-2018-002のフォローアップです。

・7.x 、8.5.x のサイトはアドバイザリーがリリースされたらすぐに通常の手順で更新できます。
・8.4.x のサイトは、アドバイザリーページで提供される予定の8.4.8 にアップデートし、次にできるだけ早く8.5.3あるいは最新のセキュリティリリースにアップデートするべきです (8.4.x はすでに公式セキュリティのカバー範囲に入っていないからです)。

セキュリティ・アドバイザリーには、ブランチごとの適正なバージョンの番号リストが掲載されます。お使いのバージョンが8.4.x あるいはそれより旧いバージョンであっても、サイトのレポートページでは8.5.xが推奨されるでしょう。
しかし当面は、今お使いのバージョンに提供されているバックポートにアップデートすればマイナーなバージョンアップデートの副作用を伴わずに迅速にアップデートできるでしょう。

上記のリリースに加えてDrupal 7.x、8.4.x、8.5.x 、8.6.xのパッチも提供されます。(もしお使いのサイトが8.4.xより旧いDrupal 8のバージョンならそれは現在のセキュリティではカバーされないのでセキュリティアップデートの対象ではありません。上記のパッチはお使いのサイトにも有効かもしれませんがアップグレードを強くお勧めします。Drupalの旧いバージョンには他にもセキュリティの脆弱な部分があると開示されているからです。)

このリリースはデータベースの更新を必要とするものではありません。

この案件についてのCVEは、CVE-2018-7602です。Drupal独自のこの案件の識別番号はSA-CORE-2018-004になる予定です。

セキュリティチームあるいはほかのどのグループも告知がなされるまではこの脆弱性についてこれ以上の情報を提供することはできません。告知は https://www.drupal.org/security、ツイッター、メール (当社のメールリストに登録している方のみ) で行われます。メールリストへの登録をご希望の場合は、Drupal.orgにログインし、ユーザープロフィールのページに行き、 Edit » My newsletters タブをクリックしセキュリティニュースレターにご登録ください。

この件について興味をお持ちの報道関係者がいらっしゃいましたら、 security-press@drupal.org までメールでご連絡ください。
報道関係者用のリリースのコピーを差し上げます。セキュリティチームも新しいコードのリリース、アドバイザリーのリリースと同時に報道関係者用のサマリーメールを出す予定です。
セキュリティについて何かお気づきの点がございましたらhttps://www.drupal.org/security-team/report-issueまでご報告ください。

==元記事==
https://www.drupal.org/psa-2018-003