Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

2018-04-26
Highly Critical
コア

2018年4月25日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : Drupal Core
●投稿日 :2018/4/25
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution

==概要==
Drupal 7.xおよび8.xの複数のサブシステム内にリモートコード実行脆弱性が存在します。
この脆弱性は、攻撃者によるDrupalサイト上の複数の攻撃ベクターの悪用を許す可能性があり、その結果、サイトが不正アクセスを受けるおそれがあります。
この脆弱性は、Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002に関連しています。SA-CORE-2018-002と、この脆弱性の両方の悪用が野放しにされています。

==解決方法==
最新バージョンのDrupal 7 coreまたはDrupal 8 coreへアップグレードします。

・7.xを実行している場合は、Drupal 7.59へアップグレードしてください。

・8.5.xを実行している場合は、Drupal 8.5.3へアップグレードしてください。

・8.4.xを実行している場合は、Drupal 8.4.8へアップグレードしてください。(Drupal 8.4.xはサポートが終了しており、当社では、通常、サポートされていないマイナーリリースのセキュリティリリースを提供していません。
ただし、サイトができるだけ速やかにアップデートできるように、今回はこの8.4.xリリースを提供しています。ユーザーは直ちに8.4.8へアップデートし、その後できるだけ速やかに8.5.3または最新のセキュアなリリースにアップデートする必要があります)。

直ちにアップデートできない場合、またはこのセキュリティリリースがまだ含まれていないDrupalディストリビューションを実行している場合は、完全にアップデートできるようになるまで、脆弱性を修復するための以下のパッチの適用を試みることができます。

Drupal 8.x(8.5.xおよびそれ以前)用のパッチ
Drupal 7.x用のパッチ

これらのパッチは、ユーザーのサイトにSA-CORE-2018-002からの修復が既に適用されている場合にのみ機能します。(ユーザーのサイトにその修復がまだ適用されていない場合、そのサイトは既に不正アクセスを受けている可能性があります。)

==元記事==
https://www.drupal.org/sa-core-2018-004