お客さま各位
 

平素は格別のご高配を賜り厚く御礼申し上げます。
 

JP-CERTよりDrupalの脆弱性が発表されましたため、
下記をご確認いただくとともに、対象バージョンのDrupalをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。

■概要
　REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。
　本脆弱性は RESTful Web Services等の REST API を利用するモジュールを有効としている場合、
　影響を受ける可能性があります。
　なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。
　本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。
　脆弱性の影響を受けるバージョン

　　・Drupal 8.6.10 より前の 8.6 系のバージョン
　　・Drupal 8.5.11 より前の 8.5 系のバージョン

■条件
　次のようなモジュールが有効になっている場合、影響を受けるとのことです。
　詳細は、Drupal のサイトを参照してください。

　　Drupal 8系で "RESTful Web Services" モジュールを有効にしている
　　Drupal 8系で "JSON:API" モジュールを有効にしている
　　Drupal 7系で "RESTful Web Services" モジュールを有効にしている
　　Drupal 7系で "Services" モジュールを有効にしている

　※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
　今回のセキュリティに関する情報は提供されていません。
　また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。

■対策
　Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
　十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

　   ・Drupal 8.6.10
　   ・Drupal 8.5.11

　※ Drupal 7系においては、修正済みのバージョンは公開されていません。
　また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、
　モジュールの更新も実施してください。

■参考情報
　Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
　https://www.jpcert.or.jp/at/2019/at190010.html