Drupalのセキュリティーは安全ですか？

FAQ

Drupalは、2007年の「オープンソースCMSアワード」で1位を獲得するほど人気の高いオープンソース型のCMSツールです。プロジェクト自体活発で、欧米では人気の高いCMSです。ただ、他のオープンソースと同じく、セキュリティー面では万全とは言い難いところがあります。最近では： ===================================== オープンソースのコンテンツ管理システム（CMS）を開発するDrupal.orgは2008年8月13日（米国時間）、クロスサイトスクリプティングなど5件の脆弱性を修正するパッチをリリースした。脆弱性のレベルは「高（Highly critical）」で、パッチ適用か最新バージョンへのアップデートを呼びかけている。Drupalが報告した脆弱性は、クロスサイトスクリプティング（XSS）2件、クロスサイトリクエストフォージェリ（CSRF）2件、それにBlogAPI経由で任意のファイルをアップロードするバグ1件の計5件。いずれも遠隔からの攻撃を可能にするものだ。中でもCSRFの1つは、アクセスルールに関するもので、特権を持つユーザーが悪意あるハッカーが作成したサイトを訪問した際、意図せずにアクセスルールの追加や削除を行う可能性があるという。また、XSSの1つはアウトプットフィルタのバグで、これを悪用して悪意あるユーザーはスクリプトコードをページ内に挿入できるという。これら5件の脆弱性が関係あるのはDrupal 6.X。Drupal 5.Xも、4件の脆弱性の影響を受ける。 ===================================== オープンソースでCMSを構築する際は、構築後（公開後）に脆弱性を修正するパッチをあてるところまで想定した予算組が必要になります。カスタマイズしたCMSサイトにパッチをあてるとなると一筋縄にはいきません。すべての追加機能を初期化することもしばしばですから、構築時と同じくらいの費用がかかることも珍しくありません。構築業者とエンドのお客様がもめる確率が高いのもこの修正パッチに関してです。「そんなことは知らなかった！」とならないためにも、開発会社と公開後のサポートに関しても事前に確認をしたほうがよいでしょう。