ចំនុចខ្សោយត្រូវបានរកឃើញនៅក្នុង Disqus Plugin
ចំនុចខ្សោយដែលអាចអនុញ្ញាតឲ្យមានការភ្ជាប់ពីចម្ងាយ (Remote Code Execution) ត្រូវបានរកឃើញនៅក្នុង Disqus Plugin ដែលគឺជា Plugin មួយពេញនិយមសម្រាប់ធ្វើជា comment និង discussion service។
នាពេលបច្ចុប្បន្ននេះ មានវិបសាយប្រមាណជា ៧០លានវិបសាយដំណើរការដោយ WordPress ដែលក្នុងនោះមានប្រមាណ ១.៣លានវិបសាយប្រើប្រាស់ នូវ Plugin មួយនេះ។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខមកពីក្រុមហ៊ុន Sucuri បានរកឃើញនូវចំនុចខ្សោយមួយ Remote Code Execution (RCE) ដែលអាចអនុញ្ញាត ឲ្យអ្នកវាយប្រហារធ្វើការដំណើរការនូវកូដនៅលើម៉ាសីុនមេ ដោយប្រើប្រាស់នូវ insecure code PHP eval() function។
តើនណាខ្លះជាជនរងគ្រោះ?
ចំនុចខ្សោយនេះអាចត្រូវបានដំណើរការទៅបាន បើសិនជាកម្មវិធីដូចខាងក្រោមត្រូវបានប្រើប្រាស់នៅក្នុងម៉ាសីុនមេ ឬវិបសាយនោះ៖
– កម្មវិធី PHP Version 5.1.6 ឬមុននេះ
– កម្មវិធី WordPress 3.1.4 ឬមុននេះ
– កម្មវិធី Plugin Disqus Commnent System 2.75 ឬមុននេះ
តើត្រូវធ្វើដូចម្តេចដើម្បីជួសជុលកំហុសឆ្គងនេះ
បើសិនជាយើងមិនបានជួសជុលវាទេ វានឹងអាចឲ្យអ្នកវាយប្រហារ ធ្វើអ្វីៗទាំងអស់តាមតែពួកគេចង់បានជាមួយនឹងវិបសាយនោះ។ ហេតុដូចនេះហើយ អ្នកត្រូវតែ ធ្វើបច្ចុប្បន្នកម្មមកកាន់កំណែថ្មីបំផុត Disqus Commnet Plugin 2.76 និង PHP ចុងក្រោយគេបង្អស់ឲ្យលឿនតាមតែអាចធ្វើទៅបាន។