TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Drupal ผู้ให้บริการระบบ CMS ชื่อดัง ออก Security Advisory สำหรับให้คำแนะนำในการอุดช่องโหว่รวม 3 รายบน Core Engine ซึ่ง 2 ใน 3 รายการนั้นมีความรุนแรงระดับ Critical
ช่องโหว่ความรุนแรงระดับ Critical ประกอบด้วย
- Cross-site Scripting บน HTTP Exceptions ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้าง URL แบบพิเศษ ที่สามารถรันโค้ดแปลกปลอมบนเบราเซอร์ของเหยื่อเมื่อถูกโหลดได้ สาเหตุมาจากการไม่ตรวจสอบ Exception ให้ดีเพียงพอ
- System.temporary Route ช่วยให้สามารถดาวน์โหลดรายงานการตั้งค่าฉบับเต็มได้โดยไม่จำเป็นต้องมีสิทธิ์ที่เหมาะสม (Export Configuration Permission)
ช่องโหว่อื่นๆ คือ
- ผู้ใช้ที่ไม่มี “Administer Comments” สามารถกำหนด Comment Visibility บน Node ที่ตนเองสามารถแก้ไขได้
Drupal เวอร์ชันที่ได้รับผลกระทบคือ 8.x ซึ่งแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 8.1.10 แทน เพื่ออุดช่องโหว่ดังกล่าว
รายละเอียดเพิ่มเติม: https://www.drupal.org/SA-CORE-2016-004
