CMSのDrupal、「極めて深刻」なバグで100万サイトを危険にさらす

人気のオープンソースCMS、Drupalの開発チームが、管理者に向けて重大なバグに関する警告を発している。Drupalによるとこのバグによってサイトはアタッカーに対して「極めて脆弱」な状態になるという。

該当するバージョン(Drupal 6、7、および8)は、インターネット上で100万以上のサイトで利用されているCMSシステムだ。

Drupalは本件のセキュリティーリスクを”highly critical” [極めて深刻]であると評価している。入力の検証がされなくなるため理論上サイトの訪問者はリモートコードを通じてハックされる可能性がある。

「このバグによってアタッカーはDrupalサイトで複数のアタックベクターを悪用可能になるため、サイトが全面的に危険にさらされる可能性がある、と開発チームはブログ記事に書いている

Drupalは先週ユーザーに対して警告を発令し、週末に「極めて重大なリリース」を公開するので直ちにアップデートするよう伝えた。これはDrupalとしては異例の発表だったため、デベロッパーは金曜日(米国時間3/30)のリリース予定時間帯に向けて「厳戒体制」に入った。脆弱性のあるバージョンのDrupalを実行しているサイトは、被害を避けるためにDrupal 7.58またはDrupal 8.5.1にできるだけ早くアップテーとすべきだ。Drupalは現時点では被害の報告はないと言っている。

バグの正式名称はCVE-2018-7600だが、ソーシャルメディアでは2014年に起きた重大バグになぞらえて 、”drupalgeddon2″と呼ばれている。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。