パスワードを忘れた? アカウント作成
13583488 story
PHP

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 10

ストーリー by hylom
お使いの皆様はさっさと対応しましょうね 部門より
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年04月25日 20時11分 (#3398771)

    またヤバそうなのが見つかったか。
    http://www.webgogo.jp/news/157 [webgogo.jp]

  • by Anonymous Coward on 2018年04月26日 8時53分 (#3398975)

    https://www.drupal.org/SA-CORE-2018-004 [drupal.org]
    今日のも引き続き"Highly Critical"だそうでw

  • by Anonymous Coward on 2018年04月25日 19時38分 (#3398755)

    一時期Drupal使おうか迷ってたが、あまりにややこしくて面倒で、これなら普通に一から作った方がいっそ早いわ、と思って使わなかった。
    もし頑張って時間使って勉強したのに脆弱性出て、じゃあ目も当てられなかった。

    • by Anonymous Coward

      知らないみたいだから教えてあげるけど、脆弱性はどんな製品でも出るのよ?

  • by Anonymous Coward on 2018年04月25日 23時07分 (#3398854)

    「PHPだから」と最初から避けていれば安心!

  • CMSだとWordpressが圧倒的シェアを持ってそうな印象だけどどうなんだろ?
    よほど詳しいか技術オタクのどっちかしか採用してないんじゃないかな?
    だとすると後者のサイトは悲惨なことになりそうだね。

    • by Anonymous Coward

      Wordpressはどちらかというとブログむけで、作り込もうと思えば作れるだろうけど、
      基本ブログ+企業サイトのようなかなり静的なサイト向けな印象。
      使ってないので微妙だけど、DrupalはもっとCMSよりな感じじゃないかな。
      今はどうかわからんけど、ホワイトハウスのウェブサイトもDrupal使ってた。

      • by Anonymous Coward

        >ホワイトハウスのウェブサイトもDrupal使ってた
        そう。過去形。トランプになってからDrupalやめたんだよね。
        あのくそオヤジ。

        • by Anonymous Coward

          いや、トランプがDpuralやめろと言ったわけではないだろ。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...