Đội ngũ Drupal vừa đưa ra một bản vá bảo mật khẩn cấp nhằm khắc phục lỗ hổng nghiêm trọng liên quan đến việc thực thi mã độc từ xa trong nhiều hệ thống con của phần mềm CMS này.
Lỗ hổng cho phép tin tặc tấn công các trang web sử dụng nền tảng Drupal bằng nhiều cách và chiếm quyền điều khiển hoàn toàn website. Đây là một lỗ hổng cực kỳ nghiêm trọng.
Theo nhóm phát triển Drupal, tin tặc có thể chiếm quyền trang web của bạn từ bất kỳ chuyên mục nào mà không bị yêu cầu đăng nhập hay đòi quyền. Có nghĩa là một kẻ ẩn danh nào đó có thể tấn công chiếm quyền, xóa, chỉnh sửa và đánh cắp dữ liệu trên trang web của bạn.
Hiện tại vẫn chưa có mã nguồn tấn công nào lưu hành trên mạng, nhưng Drupal cảnh báo rằng chỉ mất vài giờ để các hacker viết ra công cụ và công khai lên Internet. Việc cần làm ngay bây giờ của bạn là cập nhật bản vá trước khi có sự cố đáng tiếc xảy ra.
Lỗ hổng được cho là nằm ở lõi của phần mềm, ảnh hưởng đến các phiên bản CMS Drupal 6, 7 và 8. Đội ngũ phát triển lo ngại tin tặc sẽ nhanh chóng tạo ra các phần mềm tự động tấn công nhanh những trang web chưa kịp cập nhật bản vá.
Ngoài phiên bản 8.5, phần mềm CMS này cũng đã cập nhật bản vá cho những phiên bản cũ hơn như 8.3 và 8.4 để đảm bảo các trang web đều nhận được mà không phải nâng cấp toàn bộ hệ thống lên phiên bản mới nhất là 8.5. Một bản vá cho phiên bản 7.x cũng được đưa ra.
“Các chuyên viên bảo mật hệ thống của Drupal khuyến cáo bạn dành thời gian để cập nhật lõi hệ thống bởi vì việc khai thác lỗ hổng bảo mật có thể phát triển trong vài giờ hoặc nhiều ngày”, cảnh báo của Drupal được đưa ra vào tuần trước.
Nếu bạn đang sử dụng mã nguồn mở Drupal, hãy cập nhật ngay bản vá theo các phiên bản tương ứng dưới đây trước khi quá muộn.
Phiên bản 8.5.x: tải bản cập nhật 8.5.1 Phiên bản 8.4.x: Cập nhật lên 8.4.6 và cài bản vá này. Phiên bản 8.3.x: Cập nhật lên 8.3.9 và cài bản vá này. Phiên bản 7.x: tải bản cập nhật 7.5.8 Phiên bản 6.x: Cài bản vá không chính thức tại đây.
Theo Theregister.co.uk