1. ホーム
  2. インフォメーション
  3. セキュリティ情報
  4. 【11月4日更新】コンテンツ管理システム(CMS) Drupal に重大な脆弱性

コンテンツ

セキュリティ情報

【11月4日更新】コンテンツ管理システム(CMS) Drupal に重大な脆弱性

2014年10月21日(火曜日)掲載


■概要
Drupal は PHP で記述されたコンテンツ管理システム(CMS)です.Drupal には,SQL インジェクションの脆弱性があり,この脆弱性を使用する事で,遠隔の第三者は任意の SQL コマンドを実行することが可能です.
結果として,影響を受けるバージョンの Drupal が稼働している Web サイトを改ざんしたり,管理者アカウントを作成したりする可能性があります.

■対象
- Drupal 7.31 およびそれ以前
なお,Drupal 6 系は影響を受けないとのことです.

■対策
アップデートする
開発者が提供する情報をもとに,最新版( Drupal 7.32 )へアップデートを行ってください.

11月4日追記
この脆弱性を悪用する広範な攻撃が確認されているとのことです.公式サイトでは,日本時間の 10月16日午前8時(セキュリティホールが公開されてから 7 時間後)までにアップデートを適用していない場合,侵害されたと仮定して対処を行うよう勧めています.

■関連文書
Drupal.
SA-CORE-2014-005 - Drupal core - SQL injection
きわめて危険度の高い脆弱性を修正した Drupal 7.32 がリリース
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003(11月4日追記)

JPCERT/CC
Drupal の脆弱性に関する注意喚起

ITmedia
Drupalの脆弱性突く攻撃横行,「侵入されたと想定して対処を」(11月4日追記)

お問い合わせ 京都大学 情報部 情報基盤課 セキュリティ対策掛
電話番号:075-753-7490(内線7490)
E-mail:i-s-officeiimc.kyoto-u.ac.jp
お問い合わせフォーム

セキュリティ情報トップへ戻る

 

Copyright © Institute for Information Management and Communication, Kyoto University, all rights reserved.