Tags:
Node Thumbnail

Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์

แม้ Drupal จะมีช่องโหว่ระดับวิกฤติออกมาอยู่เป็นระยะ แต่ครั้งนี้เป็นครั้งแรกในรอบ 3 ปี ที่ Drupal ออกมาประกาศแพตช์ล่วงหน้า เพราะความง่ายในการพัฒนาเครื่องมือโจมตีเว็บไซต์ โดยช่องโหว่ SA-CORE-2014-005 เมื่อปล่อยแพตช์ออกมาแล้ว เริ่มมีการโจมตีหลังจากนั้นเพียง 7 ชั่วโมง

ช่องโหว่กระทบ Drupal 6 ที่หมดอายุซัพพอร์ตไปแล้วด้วย เนื่องจาก Drupal 6 หมดอายุซัพพอร์ตไปแล้ว ตอนนี้จะมีแต่แพตช์โดยชุมชนเท่านั้น

แพตช์แสดงให้เห็นว่า Drupal ไม่ได้ตรวจสอบค่าจากตัวแปรต่างๆ ที่ส่งมาทาง HTTP Request ด้วยช่องทางใน URL, Cookie, หรือ HTTP POST โดยตัวแปรเหล่านี้อาจมีตัวอักขระแรกเป็น "#" และนำไปสู่การรันโค้ดจากระยะไกลได้

ที่มา - Drupal

Get latest news from Blognone

Comments

By: eak1111 on 29 March 2018 - 17:00 #1041246
eak1111's picture

ทำไม drupal ที่ขึ้นชื่อว่าปลอดภัย ทำไมมีรายงานเรื่องช่องโหว่ความปลอดภัยแบบนี้บ่อยจัง ไม่เหมือน wordpress

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 March 2018 - 19:41 #1041256 Reply to:1041246
lew's picture

สามปีสองครั้ง?

แต่โดยทั่วไป Wordpress ทำได้ดีกว่ามากในแง่ของการรักษา API compatible ครับ API break ค่อนข้างน้อย ทำให้เว็บจำนวนมากเปิด auto update ได้ (จนทุกวันนี้ DP ยังไม่มี Auto update เลย) ไม่ต้องมานัดแนะกับผู้ดูแลระบบกันแบบนี้ แม้จะมีช่องโหว่ร้ายแรงออกมาเรื่อยๆ


lewcpe.com, @public_lewcpe