レンタルサーバー @WAPPYワピコマンガ レンタルサーバー@WAPPYお申し込み
HOME ニュース サービス サーバ環境 料金・お支払い方法 サポート お申し込み
サポート

サポート

お知らせ

2019/02/27

【注意喚起】Drupalの脆弱性について(CVE-2019-6340)

お客さま各位
 

平素は格別のご高配を賜り厚く御礼申し上げます。
 

JP-CERTよりDrupalの脆弱性が発表されましたため、
下記をご確認いただくとともに、対象バージョンのDrupalをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。

■概要
 REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。
 本脆弱性は RESTful Web Services等の REST API を利用するモジュールを有効としている場合、
 影響を受ける可能性があります。
 なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。
 本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。
 脆弱性の影響を受けるバージョン

  ・Drupal 8.6.10 より前の 8.6 系のバージョン
  ・Drupal 8.5.11 より前の 8.5 系のバージョン

■条件
 次のようなモジュールが有効になっている場合、影響を受けるとのことです。
 詳細は、Drupal のサイトを参照してください。

  Drupal 8系で "RESTful Web Services" モジュールを有効にしている
  Drupal 8系で "JSON:API" モジュールを有効にしている
  Drupal 7系で "RESTful Web Services" モジュールを有効にしている
  Drupal 7系で "Services" モジュールを有効にしている

 ※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
 今回のセキュリティに関する情報は提供されていません。
 また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。

■対策
 Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
 十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

    ・Drupal 8.6.10
    ・Drupal 8.5.11

 ※ Drupal 7系においては、修正済みのバージョンは公開されていません。
 また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、
 モジュールの更新も実施してください。

■参考情報
 Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
 https://www.jpcert.or.jp/at/2019/at190010.html




Copyright (C) 2000- GMO CLOUD K.K., all rights reserved.

安心のレンタルサーバーWADAX