Threatpost - The First Stop For Security News |
1月6日(現地時間)、Threatpostに掲載された記事「All Drupal Versions Susceptible to Code Execution, Credential Theft Vulnerabilities」が、人気の高いCMSの1つであるDrupalに複数の脆弱性が存在しており、この脆弱性を悪用されると、コードが実行されたり、中間者攻撃によってデータベースから機密情報が流出したりする危険性があることを伝えた。攻撃を行うにはDrupalと同じネットワークにアクセスでき、かつ、中間者攻撃ができる状態にある必要があるとされている。
脆弱性の1つはDrupalのアップデート機能を悪用するもので、アップデートのタイミングで細工したデータを読み込ませることで誤った不正処理を引き起こすというもの。ユーザーや管理者が適切なサイトから適切なソフトウェアを手動でダウンロードして手動でアップデートを実施すれば、この問題を回避できるとされている。DoSを引き起こす問題などにも言及されている。Drupalは次のメジャーバージョンを公開するまでにこの問題を修正するだろうという説明もある。
Drupalは現在成長を続けているCMS。最も多くのシェアを持っているCMSはWordPressだが、より高度な機能を求めるユーザーはWordPressからJoomla!やDrupalに移行する傾向を見せている。特にDrupalはエキスパートに人気があり、Joomla!からもユーザを獲得していると言われている。