2014年10月、JPCERTより「Drupal の脆弱性に関する注意喚起」が告知された
JPCERT「Drupalの脆弱性に関する注意喚起」
https://www.jpcert.or.jp/at/2014/at140042.html
drupal.orgからも内容について発表が。
https://www.drupal.org/SA-CORE-2014-005
その他、様々なサイトでDrupal7の脆弱性についての記事が投稿された。
Drupal7.32未満の全てのDrupal7にSQLインジェクションの脆弱性がある
- Drupal 7ユーザーは直ちにサイトを更新する必要がある。
- 更新するまでDrupal 7サイトはこの脆弱性にさらされ続ける。
- Drupalに関して公開される一般的なセキュリティ勧告とは異なり、この脆弱性には、アカウント情報を入 手したり誰かを騙して機密情報を漏洩させたりしなくても攻撃者がセキュリティホールを作成できるという性質がある 。
- JPCERTの発表以来、多種多様なDrupalウェブサイトに対し、この脆弱性の利用を試みるシステム化された 攻撃が開始されている。
- 不具合のアナウンスから7時間以内にサイトを更新していなかった場合、そのサイトは既に侵入されてい>る可能性がある。
- 更新しないまま、メンテナンス モードにしても、この脆弱性に対する有効な対策にはならない。
- 更新しないのであれば、サイトを完全に使用できない状態にする必要がある。
※ 状況に応じたDrupalコアのアップデート方法を案内します。
・予めアップデート内容(Release Note)を確認し、変更内容や必要な付随作業を把握する
・ファイル、データベースともバックアップを取る
・予め、テスト環境でアップデート実行後の動作確認を行う
が前提になっています。
いきなり本番サイトをアップデートしないでください。
