드루팔, 5월 20일 긴급 핵심 보안 업데이트 배포… 사이트에 대비 요청

출처: The Hacker News

릴리스 세부 정보

Drupal은 핵심 보안 릴리스가 2026년 5월 20일 UTC 기준 오후 5시 – 9시 사이에 모든 지원 브랜치에 배포될 것이라는 경고를 발표했습니다.

“Drupal 보안 팀은 이 시점에 핵심 업데이트를 위한 시간을 확보할 것을 권고합니다. 몇 시간 또는 며칠 안에 악용 코드가 개발될 수 있기 때문입니다.” 라고 PHP 기반 콘텐츠 관리 시스템의 유지 관리자는 말했습니다.
“모든 구성에 영향을 미치는 것은 아닙니다. 5월 20일 릴리스 창 동안 시간을 확보해 사이트가 영향을 받는지, 즉각적인 업데이트가 필요한지 판단하십시오. 완화 정보는 권고안에 포함될 예정입니다.”

마감 시점 이전에 사이트가 사용 중인 Drupal 버전에 대한 최신 지원 패치로 업데이트하는 것이 권장됩니다. 이렇게 하면 남아 있는 업그레이드 문제를 해결할 수 있습니다.

영향을 받는 브랜치

다음 지원 브랜치에 대한 패치가 제공될 예정입니다:

• 11.3.x
• 11.2.x
• 10.6.x
• 10.5.x

“이 지원 버전 중 하나를 사용 중인 사이트는 보안 창에 대비해 지금 바로 해당 브랜치의 최신 패치 릴리스를 적용해야 합니다.” 라고 Drupal이 밝혔습니다.

업데이트 권장 사항

보안 문제의 정확한 성격은 아직 공개되지 않았지만, 심각할 것으로 예상됩니다. Drupal은 수명 종료된 마이너 코어 버전을 사용 중인 사이트에 대해 백포팅 릴리스를 제공하고 있습니다.

• Drupal 11.1 또는 11.0 → 최소 Drupal 11.1.9 로 업데이트.
• Drupal 10.4, 10.3, 10.2, 10.1, 또는 10.0 → 최소 Drupal 10.4.9 로 업데이트.

목표는 이러한 사이트가 5월 20일에 보안 업데이트가 배포되는 즉시 적용하고, 가까운 시일 내에 Drupal 11.3 또는 10.6으로 업그레이드하는 것입니다.

수명 종료 버전

수명 종료된 주요 코어 버전(Drupal 8 및 9)을 아직 사용 중인 사이트는 Drupal 8.9와 9.5에 대한 패치 파일을 수동으로 적용해야 합니다. Drupal은 이러한 패치가 최선의 노력 수준이며 정상적으로 동작하지 않을 수 있고, 회귀가 발생할 가능성도 있다고 경고합니다.

“하지만 이러한 패치는 오래된 주요 버전을 아직 사용 중인 사이트가 지원 릴리스로 업그레이드할 때까지 취약점을 완화하는 데 도움이 될 수 있습니다.” 라고 Drupal이 말했습니다.

권장 사항:

• Drupal 8 사이트 → Drupal 8.9.20 으로 업데이트.
• Drupal 9 사이트 → Drupal 9.5.11 으로 업데이트.
• Drupal 8 및 9에는 이미 다수의 공개된 보안 취약점이 존재하므로, 가능한 한 빨리 최소 Drupal 10.6 으로 업그레이드할 것을 강력히 권장합니다. 이 패치들은 해당 취약점을 해결하지 못할 수 있습니다.

Drupal은 또한 Drupal 7은 이번 이슈와 무관하다고 밝혔습니다.