「Drupal」に「Drupalgeddon 2.0」とは別の脆弱性、更新が公開 - 早くも悪用を観測
コンテンツマネジメントシステム「Drupal」の開発チームは、深刻な脆弱性を修正するアップデートやパッチを公開した。すでに悪用が観測されているという。
アップデートを公開した開発者チーム
今回のアップデートは、リモートよりコードを実行されるおそれがある脆弱性「CVE-2018-7602」に対処したもの。
3月28日に修正した別名「Drupalgeddon 2.0」とも呼ばれる「CVE-2018-7600」のフォローアップとしても位置付けられている。
開発チームでは重要度を5段階中もっとも高い「高クリティカル(highly critical)」とレーティング。公開前より早期に攻撃コードが登場することが懸念されていたが、早くも悪用が確認されているという。
同脆弱性に対し、開発チームでは最新版となる「同8.5.3」「同7.59」をリリース。またサポートが終了している「同8.4.x,」向けに「同8.4.8」を用意したが、「同8.5.3」へ早期にアップグレードするよう求めている。
また開発チームは、「同8.x」「同7.x」向けにパッチを用意。早期に最新版へ更新できない場合は、パッチを適用するよう呼びかけている。
(Security NEXT - 2018/04/26 )
ツイート
PR
関連記事
「Drupal」コアに脆弱性 - 影響を受ける環境は限定的
「Drupal」のSQLi脆弱性、悪用確認で米当局が対策呼びかけ
「Drupal」が緊急更新を予定 - 数時間で脆弱性悪用の可能性
「Drupal」に深刻なSQLi脆弱性 - 影響ない環境も更新を強く推奨
Drupal向け「OAuth」サーバモジュールに認可バイパスの脆弱性
CMS「Drupal」の二要素認証モジュールに認証回避のおそれ
Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ
「Drupal」に3件の脆弱性 - 早急にアップデートを
「Drupal」のベーシック認証モジュールに認証バイパスの脆弱性
「Drupal」の「PWAモジュール」に脆弱性 - 設定変更のおそれ
