Drupal Releases Security Update

Drupal ระบบการจัดการเนื้อหาของเว็บไซต์ open-source content management system ที่ถูกนิยมใช้งานอย่างแพร่หลาย ได้ประกาศเปิดตัวเวอร์ชั่นใหม่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถโจมตีระยะไกลและเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ คือช่องโหว่ CVE-2018-14773 ใน third-party library ของบริษัท Symfony HttpFoundation ซึ่งถูกใช้งานใน Drupal Core เวอร์ชัน 8 ขึ้นไป

เนื่องจากคอมโพเนนต์ของ Symfony เป็นการทำงาน web application ที่เป็นส่วนประกอบของชุดคำสั่ง PHP ที่ถูกใช้งานอย่างแพร่หลายมีช่องโหว่เสี่ยงต่อการถูกแฮกได้ แฮกเกอร์สามารถใช้ประโยชน์จากค่า header HTTP 'X-Original-URL' หรือ 'X-Rewrite-URL ที่สร้างขึ้นมาเป็นพิเศษเพื่อหลีกเลี่ยงข้อจำกัด ในการเข้าถึงและทำให้ระบบเป้าหมายแสดงผล URL อื่นแทน URL ที่ถูกเรียกจริง

นอกจากนี้ ทีมงาน Drupal Core ยังพบช่องโหว่ทีคล้ายกัน ที่อยู่ในไลบรารี Zend Feed และ Diactoros ที่รวมอยู่ใน Drupal Core ซึ่งมีชื่อว่า 'URL Rewrite vulnerability' หากผู้ใช้งาน Drupal Core ไม่ได้ใช้ฟังก์ชันที่มีช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้งานแก้ไขเว็บไซต์ที่มีการใช้ Zend Feed หรือ Diactoros โดยการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ผลกระทบ
ส่งผลกระทบกับผู้ใช้ Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6

คำแนะนำ
อัปเดต Symfony เป็นเวอร์ชัน 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 และ 4.1.3 และอัปเดต Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6 เป็น 8.5.6

ที่มา: thehackernews