パッチ
組織は詳細については沈黙を守っていますが、水曜日の修正はサポートされていない8.9ブランチまで遡ります
Drupalを使用している場合は、遅延なくパッチを適用する準備をしてください。人気のあるオープンソースコンテンツ管理システムの背後にある組織は、Drupalコアの極めて重大な脆弱性について警告しており、水曜日のパッチリリースに先立って、ユーザーに即座に修正をインストールするための時間を確保するよう指示するほど深刻です。
DrupalセキュリティチームのMonday PSAは迫り来るDrupalコアのパッチを発表していますが、具体的な内容は含まれていません。PSAではパッチリリースとともに発表されるまで、Drupalは追加情報を共有することを望まないと述べられています。それはDrupalによると、5月20日水曜日の協定世界時17:00から21:00の間のいずれかの時点で発生します。
繰り返しになりますが、この脆弱性はDrupalの開発者向けに設計されたDrupalコアの基本バージョンに存在し、コーディングスキルを持たない人向けの事前構成版であるDrupal CMSではありません。
Drupalは、Drupal Stewardを使用しているサイト(有料のWebアプリケーションファイアウォールサービス)が既知の攻撃ベクトルから保護されていることに注目しています。ただし、追加の悪用方法が出現した場合に備えて、Stewardの顧客にもコアインスタンスを更新することをお勧めします。
「Drupalセキュリティチームはあなたがその時にコア更新のための時間を予約することを強く促します。エクスプロイトは数時間または数日以内に開発される可能性があります」と勧告は警告しています。また、Drupalはユーザーに水曜日のパッチ前に最新のサポート対象リリースに更新することを推奨しており、「セキュリティウィンドウ前に他のアップグレードの問題に対処できるようにするためです」。
脆弱性の性質については具体的には触れませんが、DrupalはNISTの標準スコアリング手法に基づいた重大度スコアを共有しており、それは良くありません。バグはそのスケール上で25点中20点を獲得しました。これはDrupalの独自の ドキュメント で定義されています。
より具体的には、悪用が簡単にできでき、悪用に特権レベルを必要とせず、影響を受けたサイト上のすべての非公開データに攻撃者がアクセスできるようになる可能性があり、攻撃者がしたいことの修正または削除を許可する可能性があります。完璧な25/25スコアを妨げている唯一の2つの要因は、既知のエクスプロイトがまだ存在しないという事実と、それがすべての構成に影響しないという事実です。「一般的でないモジュール構成」を使用している構成にのみ影響します。
Drupalは、セキュリティリリースが水曜日に現在サポートされているすべてのコアブランチ(11.3.x、11.2.x、10.6.x、および10.5.x)、およびサポートされていないDrupal 11.1.xおよび10.4.xブランチ向けに公開されることを明記しています。古い10.xおよび11.xリリースからアップグレードしていないサイトについては、Drupal 8.9および9.5ユーザーも「この問題の潜在的な重大性を考慮して」パッチを取得しています。ただし、勧告は8.9および9.5ユーザーはそれらの更新を手動でインストールする必要があり、それは「他のバグまたは回帰を導入する可能性がある」と警告しており、Drupalはサポート対象のコアブランチへの完全なアップグレードを推奨しています。
「Drupal 8および9には、Drupal Stewardまたは最善の取り組みパッチファイルのいずれでも対処されないその他の多くの以前に開示されたセキュリティ脆弱性が含まれています」と勧告は述べています。Drupal 7ユーザーは安全です。
すべてのDrupalコア環境が影響を受けるわけではないという事実を考えると、勧告は、すべてのDrupalコアユーザーが水曜日に時間を取って、彼らが脆弱なクラスの一部であるかどうかを判断し、もしそうなら即座に行動を起こすことを推奨しています。
Drupalのセキュリティチームはこのストーリーについての質問に応答しませんでした。®
ITに餌をやる手を噛む
