สาธิตการแฮ็ก Drupal โดยอาศัยช่องโหว่ของกระบวนการอัพเดต

ปัญหาการแฮกโดยอาศัยช่องโหว่การอัพเดตของ Drupal นั้น เป็นเรื่องที่ถกเถียงกันของนักพัฒนามานานแล้ว ซึ่งก็ยังไม่มีข้อยุติแต่อย่างใด ล่าสุดในปี 2016 นักวิจัยด้านความปลอดภัยจากบริษัท IOActive ก็ได้หยิบยกเรื่องนี้ขึ้นมาอีกครั้ง ด้วยการสาธิตการแฮ็ก Drupal โดยอาศัยช่องโหว่ของกระบวนการอัพเดต

Drupal

ปัญหาช่องโหว่เกิดขึ้นตั้งแต่ที่ Drupal มีการเช็คสถานะการอัพเดตตัวเอง โดยดึงไฟล์ XML จากเซิร์ฟเวอร์ updates.drupal.org มาแบบไม่มีการเข้ารหัส ดังนั้นจึงส่งผลให้แฮกเกอร์สามารถปลอมตัวเป็นไฟล์อัพเดต โดยหลอกให้ผู้ใช้อัพเดตไปยังไฟล์ปลอมที่มีการฝังมัลแวร์เอาไว้ หากมีการอัพเดตอัตโนมัติจะยิ่งมีความเสี่ยงกว่าการอัพเดตด้วยมือ ซึ่งการหยิบยกเรื่องนี้ขึ้นมาอีกครั้งของนักวิจัย ก็เพื่อให้เหล่านักพัฒนาทั้งหลายได้ร่วมกันหาทางแก้ไขช่องโหว่นี้นั่นเอง