พบช่องโหว่ Joomla รีบอัพเกรดเป็นเวอร์ชัน 3.6.4 ก่อนโดนยึด


26 October 2559
1318

เนื่องด้วยมีการค้นพบช่องโหว่ของ Joomla เวอร์ชันตั้งแต่ 3.4.4 – 3.6.3 จำนวน 2 ช่องโหว่ ซึ่งส่งผลทำให้ผู้ไม่หวังดีสามารถยึดครองเครื่องด้วยวิธีการเพิ่มบัญชีผู้ใช้งานผ่านฟังก์ชันการสร้างบัญชีผู้ใช้งาน [1] โดยไม่ต้องขออนุญาต และยังโจมตีอีกช่องโหว่เพื่อเพิ่มสิทธิ์ให้เป็นผู้ดูแลระบบได้ [2] อย่างไรก็ตามทาง Joomla ได้แก้ไขและประกาศแจ้งเตือนให้ผู้ใช้งานทำการปรับปรุงโดยเร่งด่วน

วิธีการแก้ไข
ตรวจสอบว่าติดตั้ง Joomla เวอร์ชั่นที่พบปัญหาหรือไม่ ถ้าพบให้ปรับปรุงให้เป็นเวอร์ชัน 3.6.4 โดยเร่งด่วน [3]

ข้อมูลจาก ศูนย์ประสานงานความมั่นคงปลอดภัยสารสนเทศภาครัฐ (G-CERT)
 

เอกสารอ้างอิง
[1] https://developer.joomla.org/security-centre/659-20161001-core-account-creation.html
[2] https://developer.joomla.org/security-centre/660-20161002-core-elevated-privileges.html
[3] https://docs.joomla.org/J3.x:Updating_from_an_existing_version

ป้ายกำกับ : G-CERT ช่องโหว่ joomla โจมตี