Drupal SQL Injection Vulnerability leaves Millions of Websites Open to Hackers
តាមការប្រកាសឲ្យដឹងពីសំណាក់វិបសាយ Drupal បានឲ្យដឹងថា វិបសាយនានាដែលដំណើរការដោយប្រើប្រាស់ Drupal មានចំនុចខ្សោយ SQL Injection ដែលអាចឲ្យអ្នកវាយប្រហារ ធ្វើការជ្រៀតចូល លុះត្រាតែវិបសាយទាំងអស់ជួសជុលនូវកំហុសឆ្គង ដែលបានដាក់ចេញកាលពីថ្ងៃទី ១៥ ខែតុលា ឆ្នាំ២០១៤ កន្លងទៅនេះ។
Drupal ដែលអ្នកទាំងអស់គ្នាបានដឹងហើយថា ជាកញ្ចប់កម្មវិធីឥតគិតប្រាក់ (Open Source) ដែលមាននូវលទ្ធភាពផ្តល់មុខងារជា Content Management System (CMS) ហើយដែលមានក្រុមហ៊ុនធំៗជាច្រើន បានកំពុងប្រើប្រាស់រួមមានដូចជា MTV, Popular Science, Sony Music, Harvard និង MIT។ Drupal ត្រូវបានប្រើប្រាស់បង្កើតជាវិបសាយចំនួន ប្រហែលជា 1 billion នៅលើអ៊ិនធឺណេត ដែលជាប់ចំណាត់ថ្នាក់ទី ៣ បន្ទាប់ពី WordPress និង Joomla។
ក្រុមការងារផ្នែកសន្តិសុខរបស់ Drupal បានធ្វើការប្រកាសព័ត៌មានជាសាធារណៈថា ចំនុចខ្សោយ SQL Injection ដែលបានផ្សព្វផ្សាយកាលពី ពីរបីសប្តាហ៍កន្លងទៅនេះ បានធ្វើឲ្យប៉ៈពាល់ទៅដល់វិបសាយប្រមាណជា ១២លាន (ប្រើប្រាស់ Drupal ជំនាន់ 7)។ អភិបាលគ្រប់គ្រងវិបសាយទាំងឡាយ ត្រូវតែធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់ នូវវិបសាយរបស់ពួកគេទៅកាន់ Drupal ជំនាន់ 7.32។
ដោយការជ្រៀតចូលតាមរយៈចំនុចខ្សោយនោះ អ្នកវាយប្រហារអាចលួចយកនូវព័ត៌មានផ្ទាល់ខ្លួនចេញពីវិបសាយ ឬក៍ក្នុងករណីខ្លះទៀត អាចបញ្ចូលនូវ កម្មវិធីមិនល្អ (backdoor) ទៅក្នុងវិបសាយនោះ ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារ ធ្វើការភ្ជាប់ពីចំងាយបាន ហើយអាចឈានទៅកាន់ការគ្រប់គ្រងវិបសាយទាំងមូលតែម្តង។
នៅក្នុងករណីដែលអ្នកវាយប្រហារបានធ្វើការបញ្ចូលនូវ backdoor ចូលទៅក្នុងវិបសាយរបស់អ្នករួចហើយនោះ អ្នកត្រូវបានណែនាំឲ្យធ្វើការបិទវិបសាយទាំងស្រុង រួចធ្វើការលប់ចោលទាំងអស់នូវ files និង databases ហើយទាញយកមកវិញ (restore) ពី backups ដែលមានមុនថ្ងៃទី ១៥ ខែតុលា ហើយបន្ទាប់មកធ្វើការជួសជុល (patch) មុនពេលដែលដាក់ឲ្យវាដំណើរការឡើងវិញ។
អ្នកក៍អាចធ្វើការទាញយកនូវ Drupal 7.32 ដោយផ្ទាល់ពីក្នុងវិបសាយបានផងដែរ។
ព័ត៌មានបន្ថែម៖
