人気のオープンソースCMS、Drupalの開発チームが、管理者に向けて重大なバグに関する警告を発している。Drupalによるとこのバグによってサイトはアタッカーに対して「極めて脆弱」な状態になるという。
該当するバージョン(Drupal 6、7、および8)は、インターネット上で100万以上のサイトで利用されているCMSシステムだ。
Drupalは本件のセキュリティーリスクを”highly critical” [極めて深刻]であると評価している。入力の検証がされなくなるため理論上サイトの訪問者はリモートコードを通じてハックされる可能性がある。
「このバグによってアタッカーはDrupalサイトで複数のアタックベクターを悪用可能になるため、サイトが全面的に危険にさらされる可能性がある、と開発チームはブログ記事に書いている
Drupalは先週ユーザーに対して警告を発令し、週末に「極めて重大なリリース」を公開するので直ちにアップデートするよう伝えた。これはDrupalとしては異例の発表だったため、デベロッパーは金曜日(米国時間3/30)のリリース予定時間帯に向けて「厳戒体制」に入った。脆弱性のあるバージョンのDrupalを実行しているサイトは、被害を避けるためにDrupal 7.58またはDrupal 8.5.1にできるだけ早くアップテーとすべきだ。Drupalは現時点では被害の報告はないと言っている。
バグの正式名称はCVE-2018-7600だが、ソーシャルメディアでは2014年に起きた重大バグになぞらえて 、”drupalgeddon2″と呼ばれている。
[原文へ]
(翻訳:Nob Takahashi / facebook )