サポート
  • ビジネスパートナー募集中
  • アフィリエイトプログラム
  • お申し込み
  • お見積り
  • 資料請求
お問い合わせはお気軽に
0120-504-746
平日9:00-22:00 / 土日祝9:00-18:00

音声案内により、各担当窓口へお繋ぎします。

ドメイン・料金・ご契約後の
各種お手続きのお問い合わせ

音声案内の窓口番号は[①]です。

技術的なお問い合わせ
音声案内の窓口番号は[②]です。

  • お知らせ
  • 【注意喚起】Drupalの脆弱性について(CVE-2019-6340)

お知らせ

レンタルサーバーのWADAX お知らせすべて【注意喚起】Drupalの脆弱性について(CVE-2019-6340)

2019.02.27

お客さま各位


平素は格別のご高配を賜り厚く御礼申し上げます。


JP-CERTよりDrupalの脆弱性が発表されましたため、
下記をご確認いただくとともに、対象バージョンのDrupalをご利用のお客さまにおかれましては、
修正済みのバージョンへのアップデートを行っていただけますようお願い申し上げます。

概要

 REST API 等でリクエストされたデータに対する検証不備の脆弱性(CVE-2019-6340) が存在するとされています。

 本脆弱性は  RESTful Web Services等の REST API を利用するモジュールを有効としている場合、

 影響を受ける可能性があります。

 なお、RESTful Web Servicesは、デフォルトでは無効に設定されています。

 本脆弱性を悪用することで、遠隔の第三者が、任意の PHP コードを実行する可能性があります。


脆弱性の影響を受けるバージョン

 ・Drupal 8.6.10 より前の 8.6 系のバージョン
 ・Drupal 8.5.11 より前の 8.5 系のバージョン

条件

 次のようなモジュールが有効になっている場合、影響を受けるとのことです。

 詳細は、Drupal のサイトを参照してください。

  Drupal 8系で "RESTful Web Services" モジュールを有効にしている
  Drupal 8系で "JSON:API" モジュールを有効にしている
  Drupal 7系で "RESTful Web Services" モジュールを有効にしている
  Drupal 7系で "Services" モジュールを有効にしている

  ※ Drupal 8.5 系より前の 8系のバージョンは、サポートが終了しており、

  今回のセキュリティに関する情報は提供されていません。

  また、Drupal 7系でも上記条件の場合は本脆弱性の影響を受けるとのことです。

対策

 Drupal より本脆弱性を修正したバージョンの Drupal が公開されています。
 十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

  ・Drupal 8.6.10
  ・Drupal 8.5.11


 ※ Drupal 7系においては、修正済みのバージョンは公開されていません。

 また、Drupal で使用しているモジュールについて、本脆弱性が修正されたバージョンが提供されている場合は、
 モジュールの更新も実施してください。

参考情報

 Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起

PAGE TOP