Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเว็บไซต์ที่ใช้ Drupal ได้ แนะนำให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็ว

Credit: Drupal

ทีมนักพัฒนาของ Drupal ได้ออก Security Advisories ระบุว่า ช่องโหว่ทั้งหมดที่ Drupal ได้ทำการแพตช์ในเดือนนี้เป็นช่องโหว่บน Libraries ของ 3rd Party ที่ใช้บน Drupal 8.6, Drupal 8.5 และก่อนหน้านั้น รวมไปถึง Drupal 7 หนึ่งในนั้นคือช่องโหว่ Cross-site Scripting (XSS) บน 3rd Party Plugin ที่ชื่อว่า JQuery ซึ่งเป็น JavaScript Library ที่ได้รับความนิยมสูงสุดและถูกนำไปใช้บนเว็บไซต์หลายล้านเว็บ

ช่องโหว่นี้ส่งผลกระทบบน JQuery ทุกเวอร์ชัน จนเมื่อสัปดาห์ที่ผ่านมา JQuery ได้ออกแพตช์เวอร์ชัน 3.4.0 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อย Drupal จึงได้ออกแพตช์ล่าสุดสำหรับอุดช่องโหว่ตาม อีก 3 ช่องโหว่ที่เหลือเป็นช่องโหว่บน Symfony PHP Components ที่ Drupal Core ใช้งาน ประกอบด้วยช่องโหว่ XSS (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

Drupal แนะนำให้ผู้ดูแลระบบอัปเดต CMS เป็นเวอร์ชัน 8.6.15, 8.5.15 หรือ 7.66 โดยเร็ว

ที่มา: https://thehackernews.com/2019/04/drupal-security-update.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware แนะนำการเลือกใช้ vSphere CPU Scheduler ให้เหมาะกับระดับความปลอดภัยของ VM ที่ต้องการ

ในช่วงที่ผ่านมานี้เราได้เห็นช่องโหว่ในระดับ CPU ที่ทำให้เกิดปัญหาการเข้าถึงข้อมูลข้าม Process กันค่อนข้างมาก และกลายเป็นประเด็นใหญ่ในวงการ IT กันมาอย่างต่อเนื่อง ทาง VMware จึงได้ทำการออกแนวทางการเลือกใช้ vSphere CPU Scheduler สำหรับแต่ละ VM ซึ่งแต่ละวิธีการนั้นก็จะมีข้อดีข้อเสียและรูปแบบการใช้งานที่เหมาะสมกับระดับของความมั่นคงปลอดภัยที่แตกต่างกันออกไป ทาง TechTalkThai จึงขอนำมาสรุปเป็นภาษาไทยให้ผู้อ่านทุกท่านได้เลือกไปใช้เป็นแนวทางกันดังนี้ครับ

ผู้ใช้งานพบ Google ติดตามการซื้อสินค้าผ่าน Gmail ทาง Google ระบุทำไปเพื่อให้ผู้ใช้งานติดตามการซื้อขายของตนเองได้ง่ายๆ เท่านั้น

เมื่อสัปดาห์ที่ผ่านมา มีผู้ใช้งานบน Reddit ได้ออกมาเผยถึงการค้นพบว่า Google นั้นมีการตรวจสอบเนื้อหาภายใน Gmail ว่าผู้ใช้งานแต่ละคนมีการซื้อสินค้าใดเกิดขึ้นบ้าง และทำเป็นหน้าสรุปการซื้อขายทั้งหมดที่เกิดขึ้นและมีการยืนยันผ่าน Gmail ในบัญชีนั้นๆ