SA-CORE-2014-005 FAQ の日本語訳

We encourage users to post events happening in the community to the community events group on https://www.drupal.org.
bkenro's picture

SA-CORE-2014-005 の脆弱性に関するFAQを翻訳してみました。
長文のせいか、スパムフィルタに弾かれるようなので、分割投稿を試みます。

原文:https://www.drupal.org/drupalsa05FAQ

Drupal 7.32 / CVE-2014-3704とは何か?
Drupal 7.32は、SQLインジェクション脆弱性の修正を含むセキュリティ リリースです。この脆弱性の識別名にはCVE-2014-3704を使用します。詳しい技術情報を含む注意勧告については、SA-CORE-2014-005 を参照してください。

サイトはいつ更新すべきか?
Drupal 7ユーザーは直ちにサイトを更新してください。

今すぐ更新することが重要な理由は?
更新するまでDrupal 7サイトはこの脆弱性にさらされています。Drupalに関して公開される一般的なセキュリティ勧告とは異なり、この脆弱性には、アカウント情報を入手したり誰かを騙して機密情報を漏洩させたりしなくても攻撃者がセキュリティホールを作成できるという性質があります。

更新:このセキュリティ勧告の10月15日付リリースによれば、多種多様なDrupalウェブサイトに対し、この脆弱性の利用を試みるシステム化された攻撃が開始されています。この不具合のアナウンスから7時間以内にサイトを更新していなかった場合、そのサイトは既に侵入されている可能性があります。詳細については、続報の下記公開サービス情報 (PSA)を参照してください。
PSA-2014-003

次のdrushベース診断ツールもチェックしてください。
project/drupalgeddon
上記ツールを使用すると、この攻撃の痕跡のいくつかを検出することができます。プロジェクトページに記載されているリンクもあわせて確認してください。

すべてのコードを更新する必要があるのか、それともパッチの適用だけで良いか?
最新版のリリースを使用することが推奨されます。ただし、次のURLからパッチを入手することも可能です。
SA-CORE-2014-005

旧バージョンを実行している場合は、完全な更新を実施できるまでの間、このパッチで同等の防御が可能です。コードの更新後は忘れずにキャッシュをクリアするようにしてください(例:drush cc all)

サイトをDrupalのメンテナンス モードにしておけば大丈夫か?
この脆弱性に対する有効な対策にはなりません。サイトを完全に使用できない状態にする必要があります。(例:静的なHTMLページを設置したディレクトリを参照するように一時的にウェブサーバー設定を変更する、Drupalのindex.phpを削除する等)

Comments

続き (1)

bkenro's picture

WAFルールを使用してサイトを保護することは可能か?
WAFルールだけでサイトをこのSQLインジェクション脆弱性から保護することはお勧めできません。この攻撃を100%検出でき、Drupalのモジュールのエコシステムの性質(詳細については、https://www.acquia.com/blog/shields を参照)による誤検出を回避できるWAFルールを我々は知りません。また、コンテンツのGETやPOST以外にも、HTTPを悪用したこの脆弱性に対する攻撃手法が存在する可能性もあります。サイトをDrupal 7.32にアップグレードする以外、同等の対策となる代替手段はありません。

自分のサイトにはパッチが既に適用されていた
誰もサイトを更新していないのにパッチが既に適用されていた、という報告が数多く確認されています。これは、menu_routerテーブルの新規または更新エントリを通じてサイトが侵入されたことを意味します。攻撃者がそのエントリを利用してサーバー上でコマンドを実行し、サイトにパッチを適用できたということです。この時点でサイトが侵入されたことは明らかですから、サイトをオフラインにするとともに、フォレンジック調査を含む対応策を検討する必要があるでしょう。具体的には、すべてのファイル、コード、ユーザー、パーミッション、ロール、データベース内容の診断、組織内の規約や標準に基づく対応(ユーザーへの通知や法的措置等)およびサイトの修復や再構築などです。

次のdrushベース診断ツールもチェックしてください。
project/drupalgeddon
上記ツールを使用すると、この攻撃の痕跡のいくつかを検出することができます。プロジェクトページに記載されているリンクもあわせて確認してください。

Drupal 6.xに脆弱性は存在するか?
Drupalコア6.xには、SA-CORE-2014-005 (CVE-2014-3704) の脆弱性はありません。ただし、DBTNGモジュール(project/dbtng)を使用しているサイトは、このモジュールの使い方によっては脆弱性が存在する可能があります。また、Drupal 7サイトと同じサーバーでホストされているDrupal 6サイトにも脆弱性が存在する可能性があります。サイトやサーバーに対する侵入の診断については、次の調査と修復に関するガイダンスを参照してください。
node/2365547

Drupal 8.0.xに脆弱性は存在するか?
存在します。Drupal コア 8.0.0-beta2 より前の 8.0.x には SA-CORE-2014-005 (CVE-2014-3704) の脆弱性が存在します。Drupal 8.0.x の旧バージョンを公開サーバー上で運用していた場合、SA リリースの数時間以内に beta2 に更新するかパッチを適用していなければ侵入されている可能性があり、サイトの診断と復旧の手順を開始する必要があります。

続き (2)

bkenro's picture

Drupalのセキュリティは大丈夫なのか?
すべてのソフトウェアにセキュリティ脆弱性が存在し、Drupalもその例外ではありません。WhiteHat Security社の調査では、オープンソースとプロプライエタリの両方で多種多様なプラットフォームにおけるウェブサイトの86%に深刻な脆弱性が存在していたことが報告されています。

Drupalは、サイトの構築や開発を行う技術者がセキュリティの確保されたサイトを容易に構築できるように、あらかじめセキュリティ機能が組み込まれたフレームワークを提供することを目指しています。

Drupalで見つかるセキュリティ問題の内訳は年を追って変化してきました。OWASPプロジェクトでは、見つかる頻度やリスク脅威に基づき、SQLインジェクションなどのインジェクション系の問題を一番の問題として挙げています。Drupalでは、豊富なAPIと開発者の教育により、SQLインジェクションの脆弱性が発生する頻度を減らしてきました。

このような問題はどうやって発見されるのか?
この問題は、ドイツの著名なPHPセキュリティ企業であるSektion Eins社によって発見されました。同社は、あるクライアントの依頼でDrupalの診断を行いました。このように、毎年何十ものDrupalウェブサイトが侵入テストやセキュリティ調査を業者に依頼し、問題を発見しています。彼らからの報告は、修正の組み込みと公開を支援しているDrupalセキュリティチームに伝えられます。高度なセキュリティが要求される環境でDrupalを使用する場合は、こうした企業に協力を求めることを検討してください。

続き (3)

bkenro's picture

このパッチのリリースまでに要した時間は?
Drupalのセキュリティチームには、コアのセキュリティ問題のリリースに関する標準プロセスがあります。我々はシステムのメンテナンス担当者と協力して作業にあたり、毎月第3水曜日にそのリリースを行います。今回の問題がDrupalセキュリティチームに知らされたのは2014年9月の第3週でした。問題の重大性を受け、我々は早期に公開すべきかどうかを検討しました。主な関心事項は、更新を行う時間を皆が確保できるタイミングはいつなのかということでした。9月29日にはDrupalcon Amsterdamがスタートするため、コミュニティメンバーの多くはそのイベントの準備で忙しくなります。Drupalconが終わった次の週も多くの場合、いつもの状態を取り戻すまで忙しくなりますから、その次となると10月15日が通常のセキュリティリリース予定日の水曜日です。Drupalコミュニティがアップグレードを想定して時間を確保している可能性が高い直近のタイミングという意味でも、我々は通常の予定日に公開するのが適切と判断しました。

bkenro's picture

以上です。

URLを含めると弾かれるようなので、文中のURLは頭の https://www.drupal.org/ を削除してパスのみ記載しています。

その他、誤訳や変なところも多いと思うので、お気づきの点など指摘いただければ修正します。