セキュリティ
組織は詳細について口を閉ざしていますが、水曜日のフィックスはサポートされていない8.9ブランチまで遡ります
Drupalを使用している場合は、遅延なくパッチを当てる準備をしてください。人気のあるオープンソースコンテンツ管理システムを背後で支えている組織は、Drupalコアの極めて重大な脆弱性について警告しており、水曜日のパッチリリースの前に、ユーザーに対してフィックスをすぐにインストールするための時間を確保するよう告げるほど深刻です。
DrupalセキュリティチームのMonday PSAはDrupalコアの差し迫ったパッチを発表していますが、具体的な詳細は含まれていません。PSAは、Drupalがパッチリリースとともにアナウンスメントされるまで追加情報を共有する意思がないことを指摘しています。Drupalによれば、これは5月20日(水曜日)のUTC1700から2100の間のどこかで発生するでしょう。
繰り返しますが、この脆弱性はDrupalコア(開発者向けに設計されたDrupalの基本バージョン)に見つかったものであり、Drupal CMS(Drupalを望むがコーディングスキルを持たない人向けの事前設定されたバージョン)ではありません。
Drupalは、その有料WebアプリケーションファイアウォールサービスであるDrupal Stewardを使用しているサイトは既知の攻撃ベクトルから保護されていることに注目しましたが、追加のエクスプロイト方法が出現する場合に備えて、Stewardの顧客はコアインスタンスを更新することを引き続き推奨しています。
「Drupalセキュリティチームはあなたにコアアップデートのための時間を予約するよう促しています。なぜなら、エクスプロイトは数時間または数日以内に開発される可能性があるからです」とアドバイザリーは警告しています。Drupalはまた、ユーザーが水曜日のパッチの前に最新のサポートされたリリースに更新することを推奨しています。「セキュリティウィンドウの前に他のアップグレード問題に対処できるように。」
脆弱性の性質に関して具体的にはなりませんが、DrupalはNISTの標準スコアリング方法論に基づいた重要度スコアを共有しました。そして、それは良くありません。Drupal自身のドキュメントで定義されているスケール上の最大25のうち20をバグはスコアしました。
より具体的には、レバレッジするのは取るに足らないほど簡単で、悪用するために特定の特権レベルを必要としません。影響を受けたサイト上のすべての非公開データを攻撃者にアクセス可能にすることができます。また、攻撃者が望むことを変更または削除することを許可することができます。完璧な25/25スコアを防ぐ唯一の2つのことは、既知のエクスプロイトがまだ存在しないという事実、およびそれがすべての構成に影響しない(「一般的でないモジュール構成」を使用するものだけに影響する)という事実です。
Drupalは、水曜日にセキュリティリリースがすべての現在サポートされているコアブランチ(11.3.x、11.2.x、10.6.x、10.5.x)のために公開されることに注目しました。また、古い10.xおよび11.xリリースからまだアップグレードしていないサイト向けのサポートされていないDrupal 11.1.xおよび10.4.xブランチです。Drupal 8.9および9.5のユーザーも「この問題の潜在的な重要度を考慮して」パッチを取得しています。しかし、アドバイザリーは8.9および9.5ユーザーがこれらのアップデートを手動でインストールする必要があることを警告しています。「他のバグまたは回帰をもたらす可能性があり」、Drupalはサポートされているコアブランチへの完全なアップグレードを推奨しています。
「Drupal 8および9には、DrupalStewardまたは最善のパッチファイルのいずれかによって対処されない多くの他の以前に開示されたセキュリティ脆弱性が含まれています」とアドバイザリーが述べました。Drupal 7ユーザーは安全です。
すべてのDrupalコア環境が影響を受けるわけではないという事実を考えると、アドバイザリーはすべてのDrupalコアユーザーが水曜日に時間を確保して、彼らが脆弱なクラスの一部であるかどうかを判断することを推奨しています。そしてそうであれば、すぐに行動を起こしてください。
Drupalのセキュリティチームはこのストーリーの質問に応答しませんでした。®
IT部門に餌を与える手を噛む
