2014年4月8日に、OpenSSL Projectの従業員が一般的な暗号化ライブラリOpenSSLの重大な脆弱性CVE-2014-0160を報告するセキュリティ情報をリリースしたことは誰もが知っています。
この脆弱性の詳細はすでに
ハブに記載されています。ここでは、Drupalサイトを保護する方法について説明します。
このサービス
-http://filippo.io/Heartbleed/を使用して(または
試して-http://possible.lv/tools/hb/または
http://www.ssllabs.com/を使用して、サイトが脆弱かどうかを確認できます
。 ssltest / )。
なぜなら この脆弱性はSSLに関するものであるため、HTTPSホストのみを確認する必要があります。
運が悪くて脆弱性がある場合は、まずOpenSSLライブラリを
更新するか、ホスティングをレンタルする場合はサポートに連絡する必要があります。
次に、前回のテストに関係なく、すべての人に推奨するポイントを検討します。これは、チェックした時点ではすでに脆弱性が解決されており、悪用されたかどうかを調べることができなかったためです。
SSL証明書を変更する
新しい秘密鍵に基づいてSSL証明書を変更し、古い証明書を取り消す必要があります。
これらの項目は非常に具体的です。 そして、それは証明書をどこで購入したかに依存します。
プライベート変数値を置き換える
- Drupal_private_keyの更新
hook_update()を使用
function your_module_update_X() { variable_set('drupal_private_key', drupal_random_key()); }
どちらかのチーム
drush eval “variable_set('drupal_private_key', drupal_random_key());”
- Drupal_hash_saltの更新
hook_update()を使用
function your_module_update_X() { variable_set('drupal_hash_salt', drupal_hash_base64(drupal_random_bytes(55))); }
どちらかのチーム
drush eval “variable_set('drupal_hash_salt', drupal_hash_base64(drupal_random_bytes(55)));”
SSO認証の秘密キーを置き換える
SSO認証を使用する場合は、秘密キーを置き換える必要があります。 たとえば、
ベーカリーモジュールの場合、キーはモジュール設定ページで置き換えることができます。
アクティブなセッションを削除する
これを行うには3つの方法があります。
サイトのすべてのユーザーは許可されないことに注意してください。
幅広いアクセス権を持つユーザー(およびできればすべてのユーザー)のパスワードをリセットする
ここでは、次のことをアドバイスできます。
- パスワードを変更する必要があることをユーザーに通知し、その認識を期待する
- ユーザーのパスワードを強制的に変更し、対応する通知をメールで送信します。 Mass Password Resetモジュールが役立ちます。
- あなたの意見では、前のオプションがユーザーにとって怖すぎる場合は、 パスワードポリシーモジュールを使用できます。 これを使用すると、すべてのパスワードを「期限切れ」にすることができます。つまり、次回認証するときにパスワードを変更する必要があります。 一般に、このモジュールを常に使用することをお勧めします。 これは、サイトのセキュリティを改善するためにAquaが推奨するモジュールのリストに含まれています。
それがすべてのようです。