ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ລະ​ວັງໄພຊ່ອງ​ໂຫວ່​ໃນ​ Joomla! ເວີ​ຊັ່ນ​ຕ່ຳ​ກວ່າ​ 3.6.4 ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ສ້າງ​ບັນ​ຊີ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ໄດ້​

ຂໍ້ມູນທົ່ວໄປ

ເມື່ອ​ວັນທີ​ 25 ຕຸລາ​ 2016 ທາງ​ Joomla! ໄດ້​ປະ​ກາດ​ອັບ​ເດດຊ໋ອບ​ແວ​​ Joomla! ເວີ​ຊັ່ນ​ 3.6.4 ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ລະ​ດັບ​ຄວາມ​ຮ້າຍແຮງ​ສູງ​ຈຳນວນ​ 2 ຈຸດ​ ຊຶ່ງ​ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ສ້າງ​ບັນຊີ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເພື່ອ​ເຂົ້າ​ຄວບ​ຄຸມ​ເວັບ​ໄຊ​ໄດ້​.

ຜົນກະທົບ

ຊ່ອງ​ໂຫວ່​ໝາຍ​ເລກ​ CVE-2016-8869 ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ສ້າງ​ບັນ​ຊີ​ທີ່​ໄດ້​ສິດ​ທິ​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ສ່ວນ​ຊ່ອງ​ໂຫວ່​ໝາຍ​ເລກ​ CVE-2016-8870 ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ສ້າງ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃໝ່​ໄດ້​ ເຖິງ​ແມ່ນວ່າ​ລະບົບ​ຈະ​ຖືກ​ຕັ້ງ​ຄ່າ​ບໍ່​ອະນຸຍາດ​ໃຫ້​ສ້າງ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃໝ່​ກໍ່​ຕາມ​.

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

ຊ່ອງ​ໂຫວ່​ທັງ​ສອງ​ມີ​ຜົນ​ກະທົບ​ກັບ​ Joomla! ເວີ​​ຊັ່ນ​ 3.4.4 ເຖິງ​ 3.6.3.

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

 ປະຈຸບັນ​ມີ​ການສ້າງ​ໂຄດ​ (code) ສຳລັບ​ໃຊ້​ທົດສອບ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ແລ້ວ​ ແຕ່​ຍັງ​ບໍ່ເຫັນການ​ເຜີຍແຜ່​ໂຄດ​ສຳລັບ​ໃຊ້​ໂຈມ​ຕີ​ຕໍ່​ສາທາລະນະ​, ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ອັບ​ເດດ​ Joomla! ໂດຍດ່ວນ ໃຫ້ເປັນ​ເວີ​​ຊັ່ນ​ 3.6.4 ເພື່ອ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ທັນ​ທີ​.

ເອກະສານອ້າງອີງ:

https://www.thaicert.or.th/newsbite/2016-10-26-01.html#2016-10-26-01