ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ເລື່ອງ: ລະວັງໄພ ຊ່ອງໂຫວ່ໃນ Drupal ແລະ WordPress ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີລະບົບ ລັກສະນະ DoS ໄດ້

ປະເພດໄພຄຸກຄາມ: DoS (Denial-of-Service)

ຂໍ້ມູນທົ່ວໄປ

ເວບໄຊທາງການຂອງ Drupal ໄດ້ປະກາດວ່າພົບຊ່ອງໂຫວ່ໃນຊ໋ອບແວ Drupal ຊຶ່ງເປັນເຄື່ອງມືໃນການຈັດການເນື້ອຫາ (CMS) ໂດຍເກີດຊ່ອງໂຫວ່ໃນສ່ວນປະກອບຂອງ XML-RPC ແລະ OpenID ທີ່ເປີດໂອກາດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີເວບໄຊ ໃນລັກສະນະ DoS ຜ່ານຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້[1] ໂດຍຈະສົ່ງຜົນໃຫ້ການໃຊ້ງານ CPU ແລະ Memory ຕະຫຼອດຈົນການເຊື່ອມຕໍ່ຖານຂໍ້ມູນເພີ່ມຂຶ້ນຫຼາຍ ຜິດປົກກະຕິ ຈົນເຮັດໃຫ້ເວບໄຊບໍ່ສາມາດເຮັດວຽກໄດ້ຕາມປົກກະຕິ ຈົນຕ້ອງຢຸດໃຫ້ບໍລິການໃນທີ່ສຸດ.

ຊ່ອງໂຫວ່ນີ້ຍັງມີຜົນກະທົບກັບລະບົບ WordPress ດ້ວຍ ເນື່ອງຈາກມີການໃຊ້ງານສ່ວນປະກອບ XML-RPC ເຊັ່ນກັນ ດັ່ງທີ່ມີການແຈ້ງເຕືອນໃນເວບໄຊຂອງ WordPress ໃນມື້ດຽວກັນ [2]

ຜົນກະທົບ

ເວບໄຊທີ່ໃຊ້ງານລະບົບ Drupal ຫຼື WordPress ລຸ້ນທີ່ໄດ້ຮັບຜົນກະທົບ ອາດຖືກໂຈມຕີຈົນບໍ່ສາມາດໃຫ້ບໍລິການໄດ້

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

- Drupal ລຸ້ນ 6. x ທີ່ເກົ່າກວ່າລຸ້ນ 6.33

- Drupal ລຸ້ນ 7. x ທີ່ເກົ່າກວ່າ 7.31

- WordPress ລຸ້ນເກົ່າກວ່າ 3.9.2

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຜູ້ເບິ່ງແຍງລະບົບ Drupal ແລະ WordPress ສາມາດອັບເດດຊ໋ອບແວ ເປັນລຸ້ນລ່າສຸດທີ່ໄດ້ຮັບການແກ້ໄຂຊ່ອງໂຫວ່ນີ້ແລ້ວ ຈາກເວບໄຊທາງການຂອງ Drupal [3] ແລະ WordPress [4] ແຕ່ຫາກບໍ່ສາມາດອັບເດດລຸ້ນຊ໋ອບແວໃຫ້ເປັນລຸ້ນທີ່ແກ້ໄຂແລ້ວດັ່ງກ່າວໄດ້ ຜູ້ເບິ່ງແຍງລະບົບສາມາດໃຊ້ວິທີລຶບ ຫຼື ຈຳກັດການເຂົ້າເຖິງ xml-rpc.php ໃນເຄື່ອງບໍລິການທີ່ຕິດຕັ້ງ Drupal ຫຼື WordPress ແລະ ປິດການໃຊ້ງານ OpenID ໃນລະບົບ Drupal ເພື່ອປ້ອງກັນການໂຈມຕີຊ່ອງໂຫວ່ດັ່ງກ່າວ ຢ່າງໃດກໍ່ຕາມ ໃຫ້ຜູ້ເບິ່ງແຍງລະບົບອັບເດດລຸ້ນຂອງ Drupal ແລະ WordPress ຫຼື ຊ໋ອບແວອື່ນໆ ໃນເຄື່ອງບໍລິການເວບໃຫ້ເປັນລຸ້ນໃໝ່ຕາມທີ່ຜູ້ຜະລິດຊ໋ອບແວແນະນຳສະເໝີ ເພື່ອປ້ອງກັນຜົນກະທົບຈາກຊ່ອງໂຫວ່ຕ່າງໆ ທີ່ອາດມີການຄົ້ນພົບໃນອະນາຄົດ.


ອ້າງອີງ

1. https://www.drupal.org/SA-CORE-2014-004

2. https://wordpress.org/news/2014/08/wordpress-3-9-2/

3. https://www.drupal.org/project/drupal

4. https://wordpress.org/download/

ເອກະສານອ້າງອີງຈາກ ThaiCERT