極めて危険な Drupal 7の脆弱性のニュース

少し前に、もてはやされて話題になってたオープンソースの CMS である、Drupal(ドルーパル)ですが、先月極めて危険な脆弱性が修正されました。

まず、 Drupal 公式からのお知らせ

Drupal 7.32 で修正された脆弱性に関する注意喚起 | ≡ Drupal Japan ≡

2014/10/16 未明にお知らせしたとおり、同日、脆弱性を修正した Drupal 7.32 がリリースされました。これ以前の 7.x を使用していたユーザーは、すでに7.32 へアップデート済みのことと思います。
しかしながら今回の脆弱性はこれまでになく危険なものであり、リリースの数時間後には攻撃が始まり、drupal.org のフォーラムにも「不審な php ファイルが作成され、スパムの踏み台にされている」等の報告が相次いでおります。 また、すでにアップデート済みであっても、アップデート以前に攻撃者に侵入されている可能性が指摘されております。
Drupal を試しにインストールをしたまま放置されているサイトも数多く存在するものと想像できますので、一般のユーザーは勿論のこと、ホスティングサービス事業者におかれましても、この問題に対する認知・認識を徹底し、十分な注意を払い、適切な対応をされることを強くお勧めいたします。
以下に、この問題を報告した記事、攻撃の可能性や実際の攻撃を調査した記事へのリンクをいくつか列挙いたします。また、Drupal セキュリティチームによる公共サービス情報を翻訳したものを掲載いたしますので参考にしてください。

Drupal 7にのみ存在する脆弱性で、修正パッチのリリースから数時間後には攻撃が始まったという

オープンソースCMS比較表(WordPress・MTOS・Joomla!・Drupal・XOOPS)/CMSとは/格安のCMS型ホームページ制作パック「自力」PC・携帯・スマートフォンサイト対応/WordPress構築

オープンソースの CMS と言えば WordPressや XOOPS が有名ですね・ω・

Drupalの脆弱性突く攻撃横行、「侵入されたと想定して対処を」 - ITmedia エンタープライズ

Drupalによると、この10月15日の発表の直後から、脆弱性を修正していないWebサイトに対する攻撃が始まった。「すべてのDrupal 7サイトは、世界協定時間の10月15日午後11時(日本時間16日午前8時)までにアップデートまたはパッチを適用していない限り、破られたと想定して対処しなければならない」とDrupalは警告する。

日本時間 の16日未明にリリースされたパッチを午前8時までに適用してない場合っていうと…日本だとほとんどそうなんじゃないですかね

Drupalはさらに「自分でパッチを適用したわけではないのに、自分のサイトにすでにパッチが適用されているのを発見した場合、そのサイトは侵入されて
いるかもしれない。一部の攻撃者は自分たちだけがそのサイトを制御できることを保証する手段としてパッチを適用している
」とも警告した。

親切な侵入者もいるもんだと思ったら、自分たちだけ悪戯できるように管理権限を乗っ取った後はパッチを当ててしまうってことなんですね ・ω・ こわいなぁ

|・ω・) 。o (  ちなみに、IIS5 対応してるらしいので、Windows 2000でサーバー立てることも可能なんですね )

しかし、Java といい Drupal といい 7を避けて 6を使い続けていた方が安全だったとは…

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です