Drupal ออกแพตซ์ฉุกเฉินแก้ไขช่องโหว่ระดับ “Critical” โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ต้องรับอนุญาต

Drupal issues emergency fix for critical bug with known exploits

Drupal ได้ออกแพตซ์ฉุกเฉินเพื่อแก้ไขช่องโหว่ที่สำคัญระดับ “Critical” โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด PHP ได้โดยไม่ต้องรับอนุญาต

ช่องโหว่สองรายการที่ได้รับการแก้ไขเกิดจากข้อบกพร่องในไลบรารี PEAR Archive_Tar ที่ถูกใช้บนระบบ Content Management System (CMS) ติดตามด้วยรหัส CVE-2020-28948 และ CVE-2020-28949 โดยช่องโหว่จะอนุญาตให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ที่มีนามสกุล .tar, .tar.gz, .bz2 หรือ .tlz บนระบบได้ ซึ่งปัจจุบันพบ 944,000 เว็บไซต์ที่ใช้รุ่น Drupal ความเสี่ยงจากทั้งหมด 1,120,941 เว็บไซต์

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตและทำการติดตั้ง Drupal ให้เป็นเวอร์ชันล่าสุดดังนี้

  • ผู้ใช้ Drupal 9.0 ควรอัปเดตเป็น Drupal เวอร์ชัน 9.0.9
  • ผู้ใช้ Drupal 8.9 ควรอัปเดตเป็น Drupal เวอร์ชัน 8.9.10
  • ผู้ใช้ Drupal 8.8 หรือรุนก่อนหน้านี้ควรอัปเดตเป็น Drupal เวอร์ชัน 8.8.12
  • ผู้ใช้ Drupal 7 ควรอัปเดตเป็น Drupal เวอร์ชัน 7.75

ทั้งนี้ Drupal 8 ก่อนหน้าเวอร์ชัน 8.8.x จะสิ้นสุดอายุการใช้งานและไม่ได้รับการแก้ไขในด้านความปลอดภัย อย่างไรก็ตาม Drupal ยังมีโซลูชั่นบรรเทาผลกระทบสำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดตการติดตั้ง Drupal บนเซิร์ฟเวอร์ได้ทันที โดยผู้ดูแลระบบและผู้ดูแลเว็บไซต์ควรทำการบล็อกผู้ใช้ที่ไม่น่าเชื่อถือไม่ให้อัปโหลดไฟล์. tar, .tar.gz, .bz2 หรือ. tlz เพื่อบรรเทาปัญหาชั่วคราว

ที่มา: bleepingcomputer.com