Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001
2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical
==概要==
本文書の公開から1週間後、2018年3月28日18:30-19:30 (UTC) の間に、 Drupal 7.x 8.3.x 8.4.x および 8.5.x 向けのセキュリティリリースが行われます。これは非常に深刻なセキュリティ上の脆弱性を修正するものです。
脆弱性を突いたエクスプロイトは、数時間または数日以内に作成される可能性があるため、必ず上記の時間帯にコアアップデートの時間を取って下さい。セキュリティリリースの告知はDrupal.orgのセキュリティアドバイザリーページに掲載されます。
Drupal 8.3.x および 8.4.x はすでにサポートを終了しており、通常はサポートされていないマイナーリリース用のセキュリティリリースは提供していません。
しかし今回は問題の深刻性を踏まえ、バージョン8.5.0へのアップデートがまだ完了していないサイト向けの修正を含めた 8.3.x および 8.4.x 用リリースを提供します。Drupalセキュリティチームでは、以下の対応を強く推奨します。
・8.3.xを使用しているサイトは、セキュリティアドバイザリーページで提供される 8.3.x 向けリリースへと直ちにアップデートしてください。その後、来月には最新の8.5.x セキュリティリリースにアップデートする予定を立ててください。
・8.4.x を使用しているサイトは、セキュリティアドバイザリーページで提供される 8.4.x 向けリリースへと直ちにアップデートしてください。その後、来月には最新の8.5.x セキュリティリリースにアップデートする予定を立ててください。
・7.x または 8.5.x を使用しているサイトは、セキュリティアドバイザリーが公開された時点で、通常の手順を使用して直ちにアップデートを行うことができます。
セキュリティアドバイザリーには、Drupal 8 の3つのバージョンすべてに対応するバージョンナンバーを一覧で掲載します。8.3.x または 8.4.x をご利用の場合でも、あなたのサイトのアップデートリポートページでは 8.5.x 用のリリースを推奨する表示が出ますが、現在利用中のバージョンに合わせて提供されるバックポートへと一時的にアップデートすることで、その後もマイナーバージョンアップデートに伴う問題を避けて速やかに最新版へのアップデートを行うことができます。
データベースのアップデートは必要ありません。
告知が行われるまでは、セキュリティチームやその他いかなる関係者も、今回の脆弱性に関連する上記以外の情報を公表することはできません。
告知はhttps://www.drupal.org/security、ツイッター、メーリングリスト登録者向けのメールで公表されます。メーリングリストに登録する場合は、drupal.orgにログインしてユーザープロフィールページを開き、Edit » My newsletters タブからセキュリティニュースレターに登録してください。
今回の問題に興味をお持ちの報道関係者の方には、 security-press@drupal.org までご連絡を頂けましたら、報道関係者向けリリースのコピーを送付いたします。また、新しいコードリリースとセキュリティアドバイザリーを公表する際には、セキュリティチームから報道関係者向けに概要を記載したメールを送付いたします。
もし、セキュリティ上の問題が見つけた場合は、https://www.drupal.org/security-team/report-issueに報告してください。