Drupalプロジェクトは3月28日(米国時間)、「Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002|Drupal.org」において、極めて重大な脆弱性を修正したDrupalの最新版を公開した。Drupalプロジェクトは脆弱性が修正されたバージョンへアップグレードすることを推奨している。

それぞれ次のバージョンが公開されている。

公開された脆弱性は遠隔からコードの実行が可能になるタイプのもので、悪用されると遠隔からサーバが完全に侵害される恐れがあるとしている。Drupalプロジェクトはこの脆弱性を「極めて重大(Highly critical)」と位置づけており注意が必要。該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。

  • Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

    Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

8.3.x系と8.4.x系はすでにサポートが終了しているが、今回の脆弱性の影響力の大きさを考慮して例外的にアップデート版の提供を実施された。今回アップデートの対象になっていないバージョンにも同じ脆弱性が存在するとされており、8.2.x系およびこれよりも前のバージョンや6系を使っている場合は、今回リリースされたプロダクトに移行することが推奨されている。

Drupalは3月1日(米国時間)、今回の脆弱性の深刻さを踏まえ、事前に脆弱性を修正するバージョンを公開すると発表していた。修正版公開から数時間で攻撃コードが出回る可能性があるとしており、注意が必要。