お客さま各位
平素は格別のご高配を賜り厚く御礼申し上げます。
JP-CERTよりDrupalの脆弱性が発表されましたため、
下記をご確認いただくとともに、対象バージョンのDrupalをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。
■概要
REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。
本脆弱性は RESTful Web Services等の REST API を利用するモジュールを有効としている場合、
影響を受ける可能性があります。
なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。
本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。
脆弱性の影響を受けるバージョン
・Drupal 8.6.10 より前の 8.6 系のバージョン
・Drupal 8.5.11 より前の 8.5 系のバージョン
■条件
次のようなモジュールが有効になっている場合、影響を受けるとのことです。
詳細は、Drupal のサイトを参照してください。
Drupal 8系で "RESTful Web Services" モジュールを有効にしている
Drupal 8系で "JSON:API" モジュールを有効にしている
Drupal 7系で "RESTful Web Services" モジュールを有効にしている
Drupal 7系で "Services" モジュールを有効にしている
※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
今回のセキュリティに関する情報は提供されていません。
また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。
■対策
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。
・Drupal 8.6.10
・Drupal 8.5.11
※ Drupal 7系においては、修正済みのバージョンは公開されていません。
また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、
モジュールの更新も実施してください。
■参考情報
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html