Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 10
ストーリー by hylom
お使いの皆様はさっさと対応しましょうね 部門より
お使いの皆様はさっさと対応しましょうね 部門より
あるAnonymous Coward曰く、
オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSD、JPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。
Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars Technica、Netlab 360、Slashdot)。
この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。
明日重大リリース (スコア:2, 参考になる)
またヤバそうなのが見つかったか。
http://www.webgogo.jp/news/157 [webgogo.jp]
追加 (スコア:1)
https://www.drupal.org/SA-CORE-2018-004 [drupal.org]
今日のも引き続き"Highly Critical"だそうでw
使わなくてよかった (スコア:0)
一時期Drupal使おうか迷ってたが、あまりにややこしくて面倒で、これなら普通に一から作った方がいっそ早いわ、と思って使わなかった。
もし頑張って時間使って勉強したのに脆弱性出て、じゃあ目も当てられなかった。
Re: (スコア:0)
知らないみたいだから教えてあげるけど、脆弱性はどんな製品でも出るのよ?
アンチです (スコア:0)
「PHPだから」と最初から避けていれば安心!
改宗を勧める (スコア:0)
大人しく近年のPHP動向を抑えて損する事はない。
日本ではどれくらいのサイトが採用しているんだろう (スコア:0)
CMSだとWordpressが圧倒的シェアを持ってそうな印象だけどどうなんだろ?
よほど詳しいか技術オタクのどっちかしか採用してないんじゃないかな?
だとすると後者のサイトは悲惨なことになりそうだね。
Re: (スコア:0)
Wordpressはどちらかというとブログむけで、作り込もうと思えば作れるだろうけど、
基本ブログ+企業サイトのようなかなり静的なサイト向けな印象。
使ってないので微妙だけど、DrupalはもっとCMSよりな感じじゃないかな。
今はどうかわからんけど、ホワイトハウスのウェブサイトもDrupal使ってた。
Re: (スコア:0)
>ホワイトハウスのウェブサイトもDrupal使ってた
そう。過去形。トランプになってからDrupalやめたんだよね。
あのくそオヤジ。
Re: (スコア:0)
いや、トランプがDpuralやめろと言ったわけではないだろ。