Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ใน Drupal และ WordPress ผู้ไม่หวังดีสามารถโจมตีระบบในลักษณะ DoS ได้

วันที่ประกาศ: 8 สิงหาคม 2557
เรื่อง: ระวังภัย ช่องโหว่ใน Drupal และ WordPress ผู้ไม่หวังดีสามารถโจมตีระบบในลักษณะ DoS ได้

ประเภทภัยคุกคาม: DoS (Denial-of-Service)

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ในวันที่ 6 สิงหาคม 2557 เว็บไซต์ทางการของ Drupal ได้ประกาศว่าพบช่องโหว่ในซอฟต์แวร์ Drupal ซึ่งเป็นเครื่องมือในการจัดการเนื้อหา (CMS) โดยเกิดช่องโหว่ในส่วนประกอบของ XML-RPC และ OpenID ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถโจมตีเว็บไซต์ในลักษณะ DoS ผ่านช่องโหว่ดังกล่าวได้[1] โดยจะส่งผลให้การใช้งาน CPU และ Memory ตลอดจนการเชื่อมต่อฐานข้อมูลเพิ่มขึ้นมากผิดปกติ จนทำให้เว็บไซต์ไม่สามารถทำงานได้ตามปกติ จนต้องหยุดให้บริการในที่สุด

ช่องโหว่นี้ยังมีผลกระทบกับระบบ WordPress ด้วย เนื่องจากมีการใช้งานส่วนประกอบ XML-RPC เช่นกัน ดังที่มีการแจ้งเตือนในเว็บไซต์ของ WordPress ในวันเดียวกัน [2]

ผลกระทบ

เว็บไซต์ที่ใช้งานระบบ Drupal หรือ WordPress รุ่นที่ได้รับผลกระทบ อาจถูกโจมตีจนไม่สามารถให้บริการได้

ระบบที่ได้รับผลกระทบ

- Drupal รุ่น 6.x ที่เก่ากว่ารุ่น 6.33

- Drupal รุ่น 7.x ที่เก่ากว่า 7.31

- WordPress รุ่นเก่ากว่า 3.9.2

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ดูแลระบบ Drupal และ WordPress สามารถอัพเดตซอฟต์แวร์เป็นรุ่นล่าสุดที่ได้รับการแก้ไขช่องโหว่นี้แล้ว จากเว็บไซต์ทางการของ Drupal [3] และ WordPress [4] แต่หากไม่สามารถอัพเดตรุ่นซอฟต์แวร์ให้เป็นรุ่นที่แก้ไขแล้วดังกล่าวได้ ผู้ดูแลระบบสามารถใช้วิธีลบหรือจำกัดการเข้าถึง xml-rpc.php ในเครื่องบริการที่ติดตั้ง Drupal หรือ WordPress และปิดการใช้งาน OpenID ในระบบ Drupal เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว อย่างไรก็ตาม ไทยเซิร์ตแนะนำให้ผู้ดูแลระบบอัพเดตรุ่นของ Drupal และ WordPress หรือซอฟต์แวร์อื่นๆ ในเครื่องบริการเว็บให้เป็นรุ่นใหม่ตามที่ผู้ผลิตซอฟต์แวร์แนะนำเสมอ เพื่อป้องกันผลกระทบจากช่องโหว่ต่างๆ ที่อาจมีการค้นพบในอนาคต

อ้างอิง

  1. https://www.drupal.org/SA-CORE-2014-004
  2. https://wordpress.org/news/2014/08/wordpress-3-9-2/
  3. https://www.drupal.org/project/drupal
  4. https://wordpress.org/download/
Clear