Drupal 4.6.8 / 4.7.2 がリリース

投稿者: webmaster 投稿日時: 2006-06-02 (金) 12:00   | |

前回の脆弱性修正版のリリースからわずか1週間ほどですが、早くも本日、2つのセキュリティ上の脆弱性を修正した Drupal 4.6.8 / 4.7.2 が公開されました。
脆弱性の危険度がやや高いものを含むため、これ以前のバージョンを使用しているユーザは早急にアップグレードすることをお勧めいたします。

ダウンロード:Drupal 4.6.8 / 4.7.2

アップグレード方法と、今回修正された脆弱性については以下を参照してください。

発見・修正された脆弱性

  1. "files" ディレクトリで任意のスクリプトが実行されるおそれ
  2. フリータギングによる XSS のおそれ

アップグレード方法

  1. まず既存の Drupal インストールディレクトリ以下のすべてのファイルと、データベースのバックアップを取ります
  2. ダウンロードしたファイルを任意のディレクトリに解凍します
  3. 解凍したファイルから ".htaccess" と "sites/default/settings.php" を削除します
  4. 上記ファイルで既存の Drupal を上書きします
  5. "files" ディレクトリの中を確認して、すでに ".htaccess" ファイルがある場合は削除します。
  6. 管理者としてログインして、管理セクション >> 環境設定 (admin/settings)へアクセスします
  7. "files" ディレクトリの中を確認して、".htaccess" ファイルが作成されていれば完了です
  8. もし、6. でエラーが発生した場合は、"files" ディレクトリが正しく書き込み可能になっているかを確認してください

files/.htaccess の内容確認

セキュリティ対策が正しく行われるように、".htaccess" の内容が以下のようになっているかを確認してください。

 SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
 Options None
 <IfModule mod_rewrite.c>
   RewriteEngine off
 </IfModule>

※ Webmaster(imagine)の個人的な見解ですが、".htaccess" による対応は対症療法に過ぎず、根治のためにはコードを修正する必要があると考えています。これについては将来、本家に打診するか、あるいは当サイトで独自に対応したいと考えております。それまでの間、最も有効的な対処法は、不特定多数の第三者に自由なファイルのアップロードを許可しないということです。