ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ


ເລື່ອງ:  ລະ​ວັງ​ໄພ ໂປຣ​ແກຣມ Atomymaxsite ລຸ້ນ 2.5 ຫລື​ຕ່ຳ​ກວ່າ ມີ​ຊ່ອງ​ໂຫວ່​ອັບ​ໂຫລດ​ໄຟລ໌​ໃດ ໆ ໄດ້​ໂດຍ​ບໍ່​ມີ​ການ​ກວດ​ສອບ

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ:  Intrusion

ຂໍ້​ມູນ​ທົ່ວ​ໄປ 

ໂປ​ຣແກຣມ Atomymaxsite ເປັນ​ໂປຣ​ແກຣມ​ສ້າງ​ເວັບ​ໄຊສຳ​ເລັດ​ຮູບ ໃນ​ຮູບ​ແບບ CMS ທີ່​ພັດທະນາ​ໂດຍ​ນັກ​ພັດທະນາ​ຊາວ​ໄທ ປະຈຸບັນ​ມີ​ຜູ້​ພັດທະນາ​ຢູ່ 2 ຄ້າຍ ຄື ໃນ​ເວັບ​ໄຊ Atomymaxsite[1]  ລະ​ບຸ​ວ່າ​ພັດທະນາ​ໂດຍ​ທ້າວຊັດສະກອນ​ ພິ​ກຸນ​ທອງ ຜູ້​ອຳ​ນວຍ​ການ​ໂຮງຮຽນ​ບ້ານຜື ອຳ​ເພີ​ຊື່ນ​ຊົມ ຈັງຫວັດ​ມະຫາ​ສານ​ຄາມ ແລະ​ ຜູ້​ທີ່​ຈະ​ນຳ​ໄປ​ໃຊ້​ງານ​ຈະ​ຕ້ອງ​ບໍລິຈາກ​ເງິນ​ຈຳນວນ​ໜຶ່ງ​ຜ່ານ​ບັນ​ຊີທະ​ນາ​ຄານ​ທີ່​ລະ​ບຸ​ໃນ​ເວັບ​ໄຊ​ດັ່ງ​ກ່າວ​ກ່ອນ ຈຶ່ງ​ຈະ​ໄດ້​ສິດ​ໃນ​ການ​ດາວ​ໂຫລດ ໂດຍ​ມີ​ລຸ້ນ​ລ່າ​ສຸດ​ຄື​ລຸ້ນ 2.5 ແລະ​ ໃນ​ເວັບ​ໄຊ Maxsite-board [2]  ລະ​ບຸ​ວ່າ​ຊອບແວລ໌ Atomymaxsite ເປັນ​ຊອບແວລ໌​ທີ່​ແຈກ​ຈ່າຍ​ໂດຍ​ບໍ່​ຄິດ​ມູນ​ຄ່າ (ຕາມ​ຂໍ້​ກຳນົດ GPL v3) ຜ່ານ Google Code [3]  ແລະ​ ມີ​ລຸ້ນ​ຂອງຊອບ​ແວລ໌​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ຄື 2.5.0, 2.5.1 ແລະ ​ລຸ້ນ​ລ່າ​ສຸດ​ຄື 2.5.2 ຊຶ່ງ​ຄາດ​ວ່າ​ທັງ​ໝົດ ເປັນ​ການ​ປັບປຸງ​ຈາກ​ລຸ້ນ 2.5 ເດີມ​ນັ້ນ​ເອງ


ໃນ​ວັນທີ 1 ຕຸລາ 2555 ໄດ້​ມີ​ຜູ້​ໂພດວິ​ດີ​ໂອ​ໃນ​ເວັບ​ໄຊ Youtube ໂດຍ​ໃຊ້​ພາສາ​ຕ່າງ​ປະເທດ​ທີ່​ຄາດ​ວ່າ​ຈະ​ເປັນ​ພາສາ​ອາ​ຫລັບ ສະແດງ​ວິທີ​ການ​ໂຈມ​ຕີ​ເວັບ​ໄຊທີ່​ໃຊ້​ຊອບແວລ໌ Atomymaxsite ລຸ້ນ 2.5 ໂດຍ​ອາໄສ​ຊ່ອງ​ໂຫວ່ Arbitrary file upload ຂອງ​ໂມ​ດູນ​ທີ່​ໃຊ້​ເຜີຍແຜ່​ຜົນ​ງານ​ວິ​ຊາ​ການ ຊຶ່ງ​ຊ່ອງ​ໂຫວ່​ນີ້​ເຮັດໃຫ້​ຜູ້​ບໍ່​ປະສົງ​ດີ​ສາມາດ​ອັບ​ໂຫລດ​ໄຟລ໌​ໃດໆ ເຂົ້າ​ສູ່​ເຄື່ອງ​ແມ່​ຂ່າຍ​ໄດ້​ໂດຍ​ບໍ່​ມີ​ການ​ກວດ​ສອບ​ຊະນິດ​ຂອງ​ແຟ້ມ​ທີ່​ອັບ​ໂຫລດ​ແຕ່​ຢ່າງ​ໃດ ແລະ​ ບໍ່​ຕ້ອງ​ກໍ່ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ກ່ອນ

ຜົນ​ກະທົບ

ຜູ້​ບໍ່​ປະສົງ​ດີ​ສາມາດ​ອັບ​ໂຫລດ​ແຟ້ມ​ຂໍ້​ມູນ​ປະ​ເພດ PHP Shell ຫລື​ ແຟ້ມ PHP ທີ່​ມີ​ຄຳ​ສັ່ງ​ບໍ່​ພຶງ​ປະສົງ​ເຂົ້າໄປ​ໃນ​ເຄື່ອງ​ແມ່​ຂ່າຍ​ເປົ້າ​ໝາຍ ແລະ​ ສາມາດ​ຮຽກ​ໃຊ້​ງານ​ຄຳ​ສັ່ງ​ດັ່ງ​ກ່າວ ໃນ​ສິດ​ທິ​ລະ​ດັບ​ດຽວ​ກັບ​ສິດ​ທິ​ຂອງ Web Server Process ໄດ້

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ

ເຄື່ອງ​ແມ່​ຂ່າຍ​ທີ່​ຕິດ​ຕັ້ງ Atomymaxsite ລຸ້ນ 2.5 ຫລື​ ຕ່ຳ​ກວ່າ

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ແລະ​ແກ້​ໄຂ

ຈາກ​ການ​ກວດ​ສອບ​ຂໍ້​ມູນ​ເບື້ອງ​ຕົ້ນ​ຈາກ Source Code ຂອງຊອບແວລ໌ Atomymaxsite ລຸ້ນ 2.5.0 ແລະ 2.5.2 ທີ່​ດາວໂຫລດ​ມາ​ຈາກ Google code ພົບ​ວ່າ​ມີ​ການ​ເພີ່ມ​ການ​ກວດ​ສອບ​ຊະນິດ​ຂອງ​ແຟ້ມ​ຂໍ້​ມູນ​ທີ່​ຜູ້​ໃຊ້​ງານ​ອັບ​ໂຫລດ​ໃນ​ໂມ​ດູນ​ທີ່​ເປັນ​ບັນຫາ​ດັ່ງ​ກ່າວ​ແລ້ວ ໂດຍ​ກຳນົດ​ໃຫ້​ແຟ້ມ​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ອັບ​ໂຫລດ​ໄດ້​ເປັນ​ຊະນິດ pdf, zip, doc, docx, ppt, pptx, xls, ແລະ xlsx ເທົ່າ​ນັ້ນ ຕັ້ງ​ແຕ່​ລຸ້ນ 2.5.0 ແລະ​ ມີ​ການ​ເພີ່ມ​ການ​ປ້ອງ​ກັນ​ການ​ເອີ້ນໃຊ້​ແຟ້ມ​ທີ່​ບໍ່ແມ່ນ​ຮູບ​ພາບ​ຈາກ​ໂຟນ​ເດີ/data ຊຶ່ງ​ໃຊ້​ເກັບ​ແຟ້ມ​ທີ່​ອັບ​ໂຫລດ​ເຂົ້າ​ເວັບ​ໄຊ ໂດຍ​ໃຊ້​ວິທີ​ການ​ເພີ່ມ​ແຟ້ມ .htaccess ໃນ​ໂຟນ​ເດີດັ່ງ​ກ່າວ ເຮັດໃຫ້ Atomymaxsite ລຸ້ນ​ທີ່​ມີ​ການ​ແຈກ​ຈ່າຍ​ຜ່ານ Google code ບໍ່​ມີ​ຜົນ​ກະທົບ​ຈາກ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ຜູ້​ໃຊ້​ງານ Atomymaxsite ລຸ້ນ 2.5 ຫລື ​ຕ່ຳ​ກວ່າ ຈຶ່ງ​ຄວນ​ປ່ຽນ​ໄປ​ໃຊ້​ງານ​ລຸ້ນ​ທີ່​ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຕາມ​ທີ່​ໄດ້​ກ່າວ​ຂ້າງ​ຕົ້ນ

ໃນ​ວັນທີ່ 18 ຕຸລາ 2555 ຜູ້​ພັດທະນາ​ໂປຣ​ແກຣມ Atomymaxsite ລຸ້ນ 2.5 [4]  ໄດ້​ມີ​ການ​ແຈ້ງ​ຂໍ້​ມູນ​ການ​ອັບ​ເດດຊອບແວລ໌​ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ [5][6]  ຊຶ່ງ​ຜູ້​ໃຊ້​ງານ​ຄວນ​ຮີບ​ດຳ​ເນີນ​ການ​ກວດ​ສອບ​ການ​ປັບປຸງ​ຊອບ​ແວລ໌​ດັ່ງ​ກ່າວ​ເພື່ອ​ປ້ອງ​ກັນ​ການ​ຖືກ​ໂຈມ​ຕີ ຫລື​ ຫາກ​ຍັງ​ບໍ່​ແນ່​ໃຈ​ວ່າ​ເວັບ​ໄຊ​ຂອງ​ທ່ານ​ໃຊ້​ງານ​ຊອບ​ແວລ໌​ລຸ້ນ​ທີ່​ມີ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ​ຫລື ​ບໍ່ ລວມ​ເຖິງ​ໃນ​ກໍລະນີ​ທີ່​ທ່ານ​ຕ້ອງ​ການ​ສອບ​ຖາມ​ຂໍ້​ມູນ​ເພີ່ມເຕີມ ທາງ​ລາວເຊີດ​ແນະນຳ​ໃຫ້​ທ່ານ​ປຶກ​ສາ​ກັບ​ເວັບ​ໄຊຜູ້​ພັດທະນາ​ຊອບແວລ໌​ທີ່​ທ່ານ​ດາວ​ໂຫລດ​ມາ​ຕິດ​ຕັ້ງ​ໂດຍ​ກົງ ເພື່ອ​ປ້ອງ​ກັນ​ຄວາມ​ຜິດ​ພາດ​ຈາກ​ການ​ອັບ​ເດດ​ຊອບແວລ໌​ທີ່​ຜິດ​ວິທີ ຊຶ່ງ​ອາດ​ເຮັດໃຫ້​ເວັບ​ໄຊຂອງ​ທ່ານ​ບໍ່​ສາມາດ​ເອີ້ນໃຊ້​ງານ​ໄດ້

ອ້າງ​ອີງ

  1. http://maxtom.sytes.net
  2. http://board.maxsitepro.com/
  3. http://code.google.com/p/atommy-maxsite-2-5/
  4. http://maxtom.sytes.net
  5. http://maxtom.sytes.net/?name=webboard&file=read&id=798
  6. http://maxtom.sytes.net/?name=webboard&file=read&id=764