Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ລະວັງໄພ ຊ່ອງໂຫວ່ໃນ Drupal ແລະ WordPress ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີລະບົບ ລັກສະນະ DoS ໄດ້

ລະວັງໄພ ຊ່ອງໂຫວ່ໃນ Drupal ແລະ WordPress ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີລະບົບ ລັກສະນະ DoS ໄດ້

ປະເພດໄພຄຸກຄາມ: DoS (Denial-of-Service)

ຂໍ້ມູນທົ່ວໄປ

ເວບໄຊທາງການຂອງ Drupal ໄດ້ປະກາດວ່າພົບຊ່ອງໂຫວ່ໃນຊ໋ອບແວ Drupal ຊຶ່ງເປັນເຄື່ອງມືໃນການຈັດການເນື້ອຫາ (CMS) ໂດຍເກີດຊ່ອງໂຫວ່ໃນສ່ວນປະກອບຂອງ XML-RPC ແລະ OpenID ທີ່ເປີດໂອກາດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີເວບໄຊ ໃນລັກສະນະ DoS ຜ່ານຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້[1] ໂດຍຈະສົ່ງຜົນໃຫ້ການໃຊ້ງານ CPU ແລະ Memory ຕະຫຼອດຈົນການເຊື່ອມຕໍ່ຖານຂໍ້ມູນເພີ່ມຂຶ້ນຫຼາຍ ຜິດປົກກະຕິ ຈົນເຮັດໃຫ້ເວບໄຊບໍ່ສາມາດເຮັດວຽກໄດ້ຕາມປົກກະຕິ ຈົນຕ້ອງຢຸດໃຫ້ບໍລິການໃນທີ່ສຸດ.

ຊ່ອງໂຫວ່ນີ້ຍັງມີຜົນກະທົບກັບລະບົບ WordPress ດ້ວຍ ເນື່ອງຈາກມີການໃຊ້ງານສ່ວນປະກອບ XML-RPC ເຊັ່ນກັນ ດັ່ງທີ່ມີການແຈ້ງເຕືອນໃນເວບໄຊຂອງ WordPress ໃນມື້ດຽວກັນ [2]

ຜົນກະທົບ

ເວບໄຊທີ່ໃຊ້ງານລະບົບ Drupal ຫຼື WordPress ລຸ້ນທີ່ໄດ້ຮັບຜົນກະທົບ ອາດຖືກໂຈມຕີຈົນບໍ່ສາມາດໃຫ້ບໍລິການໄດ້

ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ

- Drupal ລຸ້ນ 6. x ທີ່ເກົ່າກວ່າລຸ້ນ 6.33

- Drupal ລຸ້ນ 7. x ທີ່ເກົ່າກວ່າ 7.31

- WordPress ລຸ້ນເກົ່າກວ່າ 3.9.2

ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ຜູ້ເບິ່ງແຍງລະບົບ Drupal ແລະ WordPress ສາມາດອັບເດດຊ໋ອບແວ ເປັນລຸ້ນລ່າສຸດທີ່ໄດ້ຮັບການແກ້ໄຂຊ່ອງໂຫວ່ນີ້ແລ້ວ ຈາກເວບໄຊທາງການຂອງ Drupal [3] ແລະ WordPress [4] ແຕ່ຫາກບໍ່ສາມາດອັບເດດລຸ້ນຊ໋ອບແວໃຫ້ເປັນລຸ້ນທີ່ແກ້ໄຂແລ້ວດັ່ງກ່າວໄດ້ ຜູ້ເບິ່ງແຍງລະບົບສາມາດໃຊ້ວິທີລຶບ ຫຼື ຈຳກັດການເຂົ້າເຖິງ xml-rpc.php ໃນເຄື່ອງບໍລິການທີ່ຕິດຕັ້ງ Drupal ຫຼື WordPress ແລະ ປິດການໃຊ້ງານ OpenID ໃນລະບົບ Drupal ເພື່ອປ້ອງກັນການໂຈມຕີຊ່ອງໂຫວ່ດັ່ງກ່າວ ຢ່າງໃດກໍ່ຕາມ ໃຫ້ຜູ້ເບິ່ງແຍງລະບົບອັບເດດລຸ້ນຂອງ Drupal ແລະ WordPress ຫຼື ຊ໋ອບແວອື່ນໆ ໃນເຄື່ອງບໍລິການເວບໃຫ້ເປັນລຸ້ນໃໝ່ຕາມທີ່ຜູ້ຜະລິດຊ໋ອບແວແນະນຳສະເໝີ ເພື່ອປ້ອງກັນຜົນກະທົບຈາກຊ່ອງໂຫວ່ຕ່າງໆ ທີ່ອາດມີການຄົ້ນພົບໃນອະນາຄົດ.


ອ້າງອີງ

1. https://www.drupal.org/SA-CORE-2014-004

2. https://wordpress.org/news/2014/08/wordpress-3-9-2/

3. https://www.drupal.org/project/drupal

4. https://wordpress.org/download/

ເອກະສານອ້າງອີງຈາກ ThaiCERT

Porher 25 August 2014 1,110 Print