Drupal Releases Core CMS Updates to Patch Several Vulnerabilities


Drupal ระบบการจัดการเนื้อหาแบบ open-source ที่ได้รับนิยมเผยแพร่การปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Moderately Critical ใน Drupal Core ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถแฮ็กเว็บไซต์ได้

ผู้พัฒนาของ Drupal ระบุว่าช่องโหว่ด้านความปลอดภัยทั้งหมดของ Drupal ที่ได้รับการปรับปรุงในเดือนนี้เกิดจากการใช้งาน Libraries ภายนอก (third-party libraries) ซึ่งรวมอยู่ใน Drupal 8.6, Drupal 8.5 หรือก่อนหน้า รวมไปถึง Drupal 7 หนึ่งในข้อบกพร่องด้านความปลอดภัยดังกล่าวคือช่องโหว่ cross-site scripting (XSS) ที่อยู่ใน JQuery ซึ่งเป็น JavaScript library ที่ได้รับความนิยมมากที่สุดที่ถูกใช้งานโดยเว็บไซต์หลายล้านแห่ง รวมถึงได้รับการติดตั้งรวมมากับ Drupal Core ทำให้เมื่อ JQuery ได้เปิดตัว jQuery 3.4.0 เวอร์ชั่นล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว Drupal จึงจำเป็นต้องอัปเดตเพื่อแก้ไขช่องโหว่นี้ด้วย

ช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ที่ได้รับการปรับปรุงในเดือนนี้ อยู่ในส่วนของ Symfony PHP components ที่ใช้โดย Drupal Core ซึ่งอาจส่งผลให้เกิดการโจมตี Cross-site Scripting (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

แนะนำให้อัปเดต Drupal เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีจากช่องโหว่โดย
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.6.15
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.5.15
หรือในกรณีที่ใช้ Drupal ควรอัปเดตให้เป็นรุ่น 7 7.66

ที่มา: thehackernews.com