Drupal ออกอัปเดตแก้ไขช่องโหว่ระดับ Critical ที่มีความเสี่ยงสูงในการถูกโจมตี

 

Drupal ได้ประกาศเตรียมออกอัปเดตด้านความปลอดภัยที่สำคัญภายในวันที่ 20 พฤษภาคม พร้อมเตือนว่าผู้ไม่หวังดีอาจพัฒนาเครื่องมือโจมตีระบบได้ภายในไม่กี่ชั่วโมงหลังจากมีการเปิดเผยข้อมูลการอัปเดต

ขอแนะนำให้ผู้ดูแลระบบจัดเตรียมเวลาสำหรับการอัปเดตระบบหลักในวันที่ 20 พฤษภาคม ระหว่างเวลา 17:00 น. ถึง 21:00 น. (UTC) สำหรับผู้ดูแลเว็บไซต์ที่ใช้งานเวอร์ชัน 8 หรือ 9 ขอแนะนำให้ทำการอัปเกรดเป็นเวอร์ชัน 10.6 เป็นอย่างน้อย

Content management system (CMS) ของ Drupal นั้นได้รับความนิยมอย่างมากในกลุ่มองค์กรขนาดใหญ่ รวมถึงในหน่วยงานภาครัฐ, ภาคการศึกษา และภาคสาธารณสุข

ตามประกาศแจ้งเตือน ช่องโหว่ดังกล่าวส่งผลกระทบต่อระบบหลักของ Drupal ตั้งแต่เวอร์ชัน 8 เป็นต้นไป แต่ในคำแนะนำได้ชี้แจงเพิ่มเติมว่าไม่ได้ส่งผลกระทบต่อการตั้งค่าทุกรูปแบบ โดยการอัปเดตด้านความปลอดภัยจะมีให้สำหรับเวอร์ชันดังต่อไปนี้

  • Drupal 11.3.x
  • Drupal 11.2.x
  • Drupal 11.1x
  • Drupal 10.6.x
  • Drupal 10.5.x
  • Drupal 10.4x

Drupal ระบุว่า แม้เวอร์ชัน 11.1x และ 10.4x จะไม่ได้รับการสนับสนุนอีกต่อไปแล้ว แต่จะยังคงมีการออกอัปเดตแก้ไขให้เนื่องจากระดับความรุนแรงของช่องโหว่ด้านความปลอดภัยนี้ โดยผู้ดูแลระบบควรอัปเดตเป็น Drupal 11.1.9 และ 10.4.9

Drupal 8 และ 9 ซึ่งสิ้นสุดระยะเวลาการสนับสนุนไปแล้ว จะไม่ได้รับแพตช์อัปเดต แต่จะมีการเผยแพร่ไฟล์ Hotfix สำหรับเวอร์ชัน 9.5 และ 8.9 ซึ่งจะช่วยให้ผู้ที่ใช้งานเวอร์ชัน 9.5.11 หรือ 8.9.20 สามารถนำไปใช้แก้ไขปัญหาช่องโหว่ดังกล่าวได้

เว็บไซต์ที่ใช้งาน Drupal Steward ได้รับการปกป้องจากรูปแบบการโจมตีที่เป็นที่รู้จักแล้ว แต่อย่างไรก็ตาม ก็ยังคงแนะนำให้ทำการอัปเดตระบบอยู่ดี

ไม่มีการเปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ดังกล่าว และข้อมูลใด ๆ ที่อาจปรากฏบนอินเทอร์เน็ตเกี่ยวกับเรื่องนี้อาจเป็นข้อมูลเท็จที่สร้างขึ้นเพื่อหลอกให้ผู้ดูแลระบบกระทำการที่มีความเสี่ยง ดังนั้นจึงขอแนะนำให้ใช้ความระมัดระวัง

Drupal ระบุว่า “ทั้งทีมรักษาความปลอดภัย และฝ่ายอื่น ๆ ไม่สามารถเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ได้ จนกว่าจะมีการประกาศออกมาอย่างเป็นทางการ”

ผู้ดูแลเว็บไซต์ Drupal ควรคอยติดตามประกาศด้านความปลอดภัยจากช่องทาง Official ของแพลตฟอร์มอยู่ตลอด เพื่อรับทราบข้อมูลเพิ่มเติม และเตรียมพร้อมอัปเดตระบบทันทีที่มีการปล่อยแพตช์ออกมา

ที่มา : bleepingcomputer