ລະວັງໄພ ຊ່ອງໂຫວ່ໃນ Drupal ແລະ WordPress ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີລະບົບ ລັກສະນະ DoS ໄດ້
ປະເພດໄພຄຸກຄາມ: DoS (Denial-of-Service)
ຂໍ້ມູນທົ່ວໄປ
ເວບໄຊທາງການຂອງ Drupal ໄດ້ປະກາດວ່າພົບຊ່ອງໂຫວ່ໃນຊ໋ອບແວ Drupal ຊຶ່ງເປັນເຄື່ອງມືໃນການຈັດການເນື້ອຫາ (CMS) ໂດຍເກີດຊ່ອງໂຫວ່ໃນສ່ວນປະກອບຂອງ XML-RPC ແລະ OpenID ທີ່ເປີດໂອກາດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດໂຈມຕີເວບໄຊ ໃນລັກສະນະ DoS ຜ່ານຊ່ອງໂຫວ່ດັ່ງກ່າວໄດ້[1] ໂດຍຈະສົ່ງຜົນໃຫ້ການໃຊ້ງານ CPU ແລະ Memory ຕະຫຼອດຈົນການເຊື່ອມຕໍ່ຖານຂໍ້ມູນເພີ່ມຂຶ້ນຫຼາຍ ຜິດປົກກະຕິ ຈົນເຮັດໃຫ້ເວບໄຊບໍ່ສາມາດເຮັດວຽກໄດ້ຕາມປົກກະຕິ ຈົນຕ້ອງຢຸດໃຫ້ບໍລິການໃນທີ່ສຸດ.
ຊ່ອງໂຫວ່ນີ້ຍັງມີຜົນກະທົບກັບລະບົບ WordPress ດ້ວຍ ເນື່ອງຈາກມີການໃຊ້ງານສ່ວນປະກອບ XML-RPC ເຊັ່ນກັນ ດັ່ງທີ່ມີການແຈ້ງເຕືອນໃນເວບໄຊຂອງ WordPress ໃນມື້ດຽວກັນ [2]
ຜົນກະທົບ
ເວບໄຊທີ່ໃຊ້ງານລະບົບ Drupal ຫຼື WordPress ລຸ້ນທີ່ໄດ້ຮັບຜົນກະທົບ ອາດຖືກໂຈມຕີຈົນບໍ່ສາມາດໃຫ້ບໍລິການໄດ້
ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ
- Drupal ລຸ້ນ 6. x ທີ່ເກົ່າກວ່າລຸ້ນ 6.33
- Drupal ລຸ້ນ 7. x ທີ່ເກົ່າກວ່າ 7.31
- WordPress ລຸ້ນເກົ່າກວ່າ 3.9.2
ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
ຜູ້ເບິ່ງແຍງລະບົບ Drupal ແລະ WordPress ສາມາດອັບເດດຊ໋ອບແວ ເປັນລຸ້ນລ່າສຸດທີ່ໄດ້ຮັບການແກ້ໄຂຊ່ອງໂຫວ່ນີ້ແລ້ວ ຈາກເວບໄຊທາງການຂອງ Drupal [3] ແລະ WordPress [4] ແຕ່ຫາກບໍ່ສາມາດອັບເດດລຸ້ນຊ໋ອບແວໃຫ້ເປັນລຸ້ນທີ່ແກ້ໄຂແລ້ວດັ່ງກ່າວໄດ້ ຜູ້ເບິ່ງແຍງລະບົບສາມາດໃຊ້ວິທີລຶບ ຫຼື ຈຳກັດການເຂົ້າເຖິງ xml-rpc.php ໃນເຄື່ອງບໍລິການທີ່ຕິດຕັ້ງ Drupal ຫຼື WordPress ແລະ ປິດການໃຊ້ງານ OpenID ໃນລະບົບ Drupal ເພື່ອປ້ອງກັນການໂຈມຕີຊ່ອງໂຫວ່ດັ່ງກ່າວ ຢ່າງໃດກໍ່ຕາມ ໃຫ້ຜູ້ເບິ່ງແຍງລະບົບອັບເດດລຸ້ນຂອງ Drupal ແລະ WordPress ຫຼື ຊ໋ອບແວອື່ນໆ ໃນເຄື່ອງບໍລິການເວບໃຫ້ເປັນລຸ້ນໃໝ່ຕາມທີ່ຜູ້ຜະລິດຊ໋ອບແວແນະນຳສະເໝີ ເພື່ອປ້ອງກັນຜົນກະທົບຈາກຊ່ອງໂຫວ່ຕ່າງໆ ທີ່ອາດມີການຄົ້ນພົບໃນອະນາຄົດ.
ອ້າງອີງ
1. https://www.drupal.org/SA-CORE-2014-004
2. https://wordpress.org/news/2014/08/wordpress-3-9-2/
3. https://www.drupal.org/project/drupal
4. https://wordpress.org/download/
ເອກະສານອ້າງອີງຈາກ ThaiCERT
