TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Drupal ระบบ Content Management System (CMS) ที่ได้รับความนิยมเป็นอันดับ 2 ของโลก ได้ออก Critical Patch มาสำหรับ Drupal Core ซึ่งรองรับทั้งรุ่น 6.x, 7.x และ 8.x โดยอุดช่องโหว่ไปทั้งสิ้น 10 ช่องโหว่ โดยในช่องโหว่เหล่านี้มีช่องโหว่ที่ร้ายแรงด้วยกันถึง 5 ช่องโหว่เลยทีเดียว โดยรายการช่องโหว่ทั้งหมดมีดังต่อไปนี้
- File upload access bypass and denial of service (File module – Drupal 7 and 8 – Moderately Critical)
- Brute force amplification attacks via XML-RPC (XML-RPC server – Drupal 6 and 7 – Moderately Critical)
- Open redirect via path manipulation (Base system – Drupal 6, 7 and 8 – Moderately Critical)
- Form API ignores access restrictions on submit buttons (Form API – Drupal 6 – Critical)
- HTTP header injection using line breaks (Base system – Drupal 6 – Moderately Critical)
- Open redirect via double-encoded ‘destination’ parameter (Base system – Drupal 6 – Moderately Critical)
- Reflected file download vulnerability (System module – Drupal 6 and 7 – Moderately Critical)
- Saving user accounts can sometimes grant the user all roles (User module – Drupal 6 and 7 – Less Critical)
- Email address can be matched to an account (User module – Drupal 7 and 8 – Less Critical)
- Session data truncation can lead to unserialization of user provided data (Base system – Drupal 6 – Less Critical)
นอกจากนี้ Drupal 6 ยังถูกจัดเข้าสถานะ End-of-Life ไปเรียบร้อยแล้ว ดังนั้นใครที่ยังมีเว็บเป็น Drupal 6 อยู่ก็ควรรีบอัพขึ้นมาเป็น 7 หรือ 8 โดยด่วนครับ
สำหรับผู้ที่สนใจรายละเอียดเต็มๆ สามารถอ่านได้ที่ https://www.drupal.org/SA-CORE-2016-001 เลยนะครับ ส่วนใครอยากโหลด Patch ล่าสุดก็เข้าไปจัดการได้เลยที่ https://www.drupal.org/project/drupal ครับผม
