Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ใน Drupal ผู้ไม่หวังดีสามารถขโมยข้อมูลในฐานข้อมูลได้

วันที่ประกาศ: 1 ธันวาคม 2557
ปรับปรุงล่าสุด: 1 ธันวาคม 2557
เรื่อง: ระวังภัย ช่องโหว่ใน Drupal ผู้ไม่หวังดีสามารถขโมยข้อมูลในฐานข้อมูลได้

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ในวันที่ 15 ตุลาคม 2557 ทางเว็บไซต์ผู้พัฒนาซอฟต์แวร์ Drupal ได้ประกาศว่าพบช่องโหว่ในซอฟต์แวร์ Drupal ซึ่งเป็นซอฟต์แวร์บริหารจัดการเว็บไซต์เนื้อหาบนเว็บไซต์ (CMS) โดยช่องโหว่ดังกล่าวถูกพบใน Database Abstraction API ซึ่งเป็นส่วนประกอบหลักที่ถูกใช้ในการเชื่อมต่อกับฐานข้อมูล (Database) เพื่ออ่านหรือแก้ไขข้อมูล ซึ่งช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถโจมตีเว็บไซต์ในลักษณะอ่านหรือแก้ไขฐานข้อมูลที่เชื่อมต่อกับเว็บไซต์ผ่านช่องโหว่ดังกล่าวได้ (SQL Injection) [1]

ระบบที่ได้รับผลกระทบ

Drupal รุ่น 7.x ที่เก่ากว่า 7.32

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ดูแลเว็บไซต์ที่ใช้ซอฟต์แวร์ Drupal สามารถตรวจสอบและอัปเดตซอฟต์แวร์เป็นรุ่นล่าสุดที่ได้รับการแก้ไขช่องโหว่ด้วยจาก update.php ใน Directory ที่ติดตั้ง Drupal ดังรูปที่ 1 [2]


รูปที่ 1 การอัปเดตซอฟต์แวร์ด้วย update.php

แต่หากไม่สามารถอัปเดตรุ่นซอฟต์แวร์ให้เป็นรุ่นที่แก้ไขแล้วดังกล่าวได้ ผู้ดูแลระบบที่ใช้ซอฟต์แวร์ Drupal สามารถติดตั้งแพทช์ (Patch) เพื่อปิดช่องโหว่ในไฟล์ที่ชื่อ database.inc [1] โดยการดาวน์โหลดแพทช์จาก https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch มายัง Directory ที่ติดตั้ง Drupal จากนั้นให้ติดตั้งแพทช์ด้วยคำสั่ง patch -p1 < SA-CORE-2014-005.patch [3] ทั้งนี้ผู้ดูแลเว็บไซต์ควรทำการสำรองข้อมูลก่อนที่จะทำการอัปเดตซอฟต์แวร์หรือติดตั้งแพทช์

อ้างอิง

  1. https://www.drupal.org/SA-CORE-2014-005
  2. http://www.dummies.com/how-to/content/running-drupal-updatephp.html
  3. https://www.drupal.org/patch/apply
Clear