ユーザーサポートページ > メンテナンス情報

メンテナンス情報 お知らせやメンテナンス情報をご覧いただけます

サーバー障害情報など、緊急を要する情報は迅速にこのページにて報告するよう努めておりますが、最新の情報が反映されるまでにお時間をいただく場合もございます。何卒ご了承ください。



2019年02月27日(水) 【注意喚起】Drupalの脆弱性について(CVE-2019-6340)
No.476 / Group:お知らせ その他
お客さま各位

平素は格別のご高配を賜り厚く御礼申し上げます。

JP-CERTよりDrupalの脆弱性が発表されましたため、
下記をご確認いただくとともに、対象バージョンのDrupalをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。

■概要
---------------------------------------------------------------------------------
REST API 等でリクエストされたデータに対する検証不備の
脆弱性(CVE-2019-6340) が存在するとされています。
本脆弱性は RESTful Web Services等の REST API を利用するモジュールを
有効としている場合、影響を受ける可能性があります。

なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。
本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。

■脆弱性の影響を受けるバージョン
---------------------------------------------------------------------------------
Drupal 8.6.10 より前の 8.6 系のバージョン
Drupal 8.5.11 より前の 8.5 系のバージョン

■条件
---------------------------------------------------------------------------------
次のようなモジュールが有効になっている場合、影響を受けるとのことです。
詳細は、Drupal のサイトを参照してください。

Drupal 8系で "RESTful Web Services" モジュールを有効にしている
Drupal 8系で "JSON:API" モジュールを有効にしている
Drupal 7系で "RESTful Web Services" モジュールを有効にしている
Drupal 7系で "Services" モジュールを有効にしている

※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、
 今回のセキュリティに関する情報は提供されていません。
 また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。

■対策
---------------------------------------------------------------------------------
Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

・Drupal 8.6.10
・Drupal 8.5.11

※ Drupal 7系においては、修正済みのバージョンは公開されていません。

また、Drupal で使用しているモジュールについて、
本脆弱性が修正されたバージョンが提供されている場合は、モジュールの更新も実施してください。

■参考情報
---------------------------------------------------------------------------------
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190010.html


ページTOP

ご利用マニュアル クイックメニュー

キーワード検索

例)ログイン方法


人気ドメイン新価格

レジストラ移管

独自SSL取扱開始