Drupalは本日中に予定されている「コアセキュリティリリース」を発表し、脅威アクターがアップデート公開後数時間以内にエクスプロイトを開発する可能性があると警告しています。
管理者は5月20日の17:00~21:00 UTC間にコアアップデートの時間を確保することが推奨されています。バージョン8または9を実行しているWebサイト管理者は、少なくともバージョン10.6へのアップグレードを強くお勧めします。
Drupalコンテンツ管理システム(CMS)は、大規模組織だけでなく、政府、教育、ヘルスケア部門でも非常に人気があります。
公開サービスアナウンスメントによると、この脆弱性はDrupalコアバージョン8以降に影響を与えますが、アドバイザリではすべての設定が影響を受けるわけではないことを明確にしています。セキュリティアップデートは次のバージョンで利用可能になります:
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 11.1x
- Drupal 10.6.x
- Drupal 10.5.x
- Drupal 10.4x
Drupalは、バージョン11.1xおよび10.4xはサポートされていませんが、セキュリティ問題の深刻性のため、これらのバージョンに対しても修正が提供されることを指摘しています。管理者はDrupal 11.1.9および10.4.9にアップデートする必要があります。
end-of-lifeに達したDrupal 8および9はパッチを受け取りませんが、バージョン9.5および8.9のホットフィックスファイルが公開され、バージョン9.5.11または8.9.20を実行しているユーザーの救済が可能になります。
Drupal Stewardを使用しているサイトは、既知の攻撃ベクトルから既に保護されています。ただし、アップデートは引き続き推奨されます。
脆弱性に関する技術的な詳細は公開されておらず、オンラインに表示される可能性のある情報は詐欺的であり、管理者が危険な行動を取るようにだまそうとしている可能性があります。したがって、注意が必要です。
「セキュリティチームおよび他のいかなる当事者も、アナウンスメントが行われるまで、この脆弱性に関するより詳しい情報を公開することはできません」とDrupalは警告しました。
Drupalのウェブサイト管理者は、終日プラットフォームの公式セキュリティポータルを監視してより詳しい情報を確認し、セキュリティアップデートが利用可能になったらすぐに適用できるように準備する必要があります。
検証ギャップ:自動ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、それらは1つの質問に答えるために構築されました:攻撃者はネットワークを通じて移動できるか?これらは、コントロールが脅威をブロックするか、検出ルールが機能するか、またはクラウド設定が保持されるかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。
