နောက်ထပ် အကြီးစား အားနည်းချက်ကို Drupal တွင် တွေ့ရှိ၊ သင့် site ကို ချက်ချင်းပြင်ဆင်ပါ

သန်းနှင့်ချီသည့် webisites များတွင် အသုံးပြုနေပြီး လူသုံးများသည့် open-source content management system software ဖြစ်သည့် Drupal ၏ developers များက website ကို အဝေးမှထိန်းချူပ်တိုက်ခိုက်နိုင်သည့် အကြီးစားအားနည်းချက်ကို ပြင်ဆင်နိုင်မည့် ၎င်းတို့software ၏ နောက်ဆုံးversion ကို ထုတ်ပေးခဲ့ပြီးဖြစ်ပါသည်။
.
၎င်းversion သည် Drupal security team ၏ နောက်လာမည့် patches များအတွက် လုံခြုံရေးဆိုင်ရာ ကြိုတင်သတိပေးချက်များကြေညာပြီး ၂ ရက်အကြာတွင် ထုတ်ပြန်ခဲ့ခြင်းဖြစ်သည်။
ထိုကဲ့သို့ ထုတ်ပြန်ရခြင်းမှာ Website administrators များအနေနှင့် hacker များမှ ယိုပေါက်ကို အသုံးပြုကာ အတိုက်ခိုက်မီ စောလျှင်စွာ ကြိုတင်ပြင်ဆင်ထားနိုင်ရန်အတွက်ပင်ဖြစ်သည်။
.
Drupal core ရှိ အကြီးစား Remote Code Execution (RCE) အားနည်းချက် မှာ အချို့သော အခြေအနေ၌ PHP code execution ကို ဖြစ်စေနိုင်ကြောင်း Drupal security team မှ ထုတ်ပြန်ထားခြင်းဖြစ်သည်။
.
Drupal team မှ ၎င်း၏အားနည်းချက်ဖြစ်သည့် CVE-2019-6340 ၏ နည်းပညာဆိုင်ရာ အသေးစိတ်ကို မထုတ်ပြန်ရသေးမီတွင် ထိုအားနည်းချက်သည် အချို့သော field types များတွင် ပုံစံမကျသည့် sources များမှ data များကို ကောင်းစွာ စစ်ဆေးထားခြင်းမရှိခြင်းကြောင့်ဖြစ်သည်ဟု ဖော်ပြကြပြီး Drupal 7 နှင့် 8 core များကို ထိခိုက်စေခြင်းဖြစ်သည်။
.
ထို့ပြင် RESTful Web Services(rest) module ကို enable ပြုလုပ်ထားပြီး PATCH or POST requests များကို ခွင့်ပြုထားသည့် (သို့) အခြား web services module ကို enable ပြုလုပ်ထားသည့် Drupal- based webisites များကို ထိခိုက်စေခြင်းဖြစ်သည်။
.
အကယ်၍ နောက်ဆုံး update ကို ချက်ချင်း install မပြုလုပ်နိုင်သေးပါက web services modules အားလုံးကို disable ပြုလုပ်ခြင်း (သို့) PUT/PATCH/POST requests များကို web services resources များဆီသို့ allow မလုပ်ခြင်းဖြင့် သက်သာစေနိုင်သည်။
.
သို့သော်ငြားလည်း Server configuration ပေါ်တွင် မူတည်ပြီး web services resources များသည် paths အမျိုးမျိုးပေါ်မှ ခေါ်ယူ၍ရနိုင်သေးကြောင်း ဗုဒ္ဓဟူးနေ့က ထုတ်ပြန်ထားသည့် Drupal ၏ လုံခြုံရေးဆိုင်ရာ အကြံပေးချက်တွင် သတိပေးထားသည်။
.
Drupal 7 အတွက်တွင် paths (clean URLs )များနှင့် “q” query argument နောက်မှ arguments များတွင် web services resources များခေါ်ယူ၍ ရရှိနိုင်ပြီး Drupal 8 တွင်မူ “index.php/” စသည့် paths များတွင် အလုပ်လုပ်သေးကြောင်းလည်း သတိပေးထားသည်။
.
သို့သော်ငြားလည်း hacker များအကြားတွင် Drupal exploits များသည် ရေပန်းစားလျှက်ရှိရာ နောက်ဆုံး update ကို install ပြုလုပ်ထားရန် အကြုံပြုထားပြီး Drupal 8.6.x ကို အသုံးပြုနေပါက Drupal 8.6.10 သို့ upgrade ပြုလုပ်ထားရန်နှင့် Drupal 8.5.x နှင့် ၎င်းအရင်က version များကို အသုံးပြုနေပါက 8.5.11 သို့ upgrade ပြုလုပ်ထားရန်ပင်ဖြစ်သည်။
.
ယခုအချိန်တွင် Drupal 7 services module ကိုယ်တိုင်ကို update ပြုလုပ်ရန် မလိုသေးသော်လည်း “Services” ကို အသုံးပြုနေပါက သက်ဆိုင်ရာ update များကို ပြုလုပ်ထားသင့်ကြောင်း Drupal မှပြောကြားထားပါသည်။
.
၎င်းအားနည်းချက်ကို Drupal မှ Samuel Mortenson မှတွေ့ရှိပြီး report တင်ပြခဲ့ခြင်းဖြစ်သည်။
.
Wang Wei ၏ "Another Critical Flaw in Drupal Discovered — Update Your Site ASAP!" ကို ဘာသာပြန်ဆိုပါသည်။

 

1