新しい非常に重大な脆弱性, CVE-2019-6340として識別, Drupalで発見されたばかりです, そして幸いなことに、それはコンテンツ管理システムの最新バージョンですでに修正されています.
Drupalを実行している場合 7, コアアップデートは必要ありません, ただし、影響を受けるモジュールを使用している場合は、提供されたモジュールを更新する必要がある場合があります. 現時点では、これらのモジュールのリストを提供することはできません。, Drupalはセキュリティアドバイザリで述べました.
CVE-2019-6340技術履歴書
CVE-2019-6340は、Drupal Coreのリモートコード実行の欠陥であり、特定の場合に任意のPHPコードが実行される可能性があります. 脆弱性に関する十分な技術的詳細が利用可能ではありません. 既知のことは、一部のフィールドタイプが非フォームソースからのデータを適切にサニタイズしないために、欠陥がトリガーされることです。. バグはDrupalに影響します 7 とDrupal 8, チームは言った.
Drupalに基づくWebサイトは、RESTfulWebサービスの場合にのみ利用できます。 (休み) モジュールが有効になっているため、PATCHまたはPOSTリクエストが許可されます. この欠陥は、別のWebサービスモジュールが有効になっている場合にもトリガーされます.
CVE-2019-6340をどのように軽減できますか?
脆弱性を軽減するには, 影響を受けるユーザーは、すべてのWebサービスモジュールを無効にできます, またはWebサーバーを構成します(s) WebサービスリソースへのPUT/PATCH/POSTリクエストを許可しない. 対応するサーバーの構成によっては、Webサービスリソースが複数のパスで利用できる場合があることに注意してください。(s).
Drupalの場合 7, たとえば、リソースは通常、パスを介して利用できます (クリーンURL) とへの引数を介して “q” クエリ引数. Drupalの場合 8, index.php /のプレフィックスが付いている場合でも、パスは機能する可能性があります, アドバイザリーは言った.
Drupalの別のリモートコード実行バグ, Drupalgeddon2と呼ばれる, 昨年10月に悪用されました. 未知の犯罪集団が、以前にパッチが適用されたCVE-2018-7600アドバイザリで追跡された古いセキュリティバグを利用していました 2017. この侵入の試みはDrupalgeddon2攻撃と呼ばれ、入手可能な調査によると, これにより、ハッカーは脆弱なサイトを悪用して完全に制御できるようになりました, 個人データへのアクセスを含む.