Parasolx

Professional in Drupal web development, theme designing, consultation and training

Kepentingan membuang semua fail .TXT pada pemasangan Drupal

25 Dec 2012 - 07:27 pm

Dalam website portal komuniti Drupal, saya pernah menulis satu tips atau cadangan agar setiap pemasangan Drupal dibuang semua fail .TXT yang ada pada pada direktori "root". Boleh rujuk artikel tersebut di laman tersebut bertajuk "Buang semua fail TXT". Ada sesetengah pembangun beranggapan langkah ini sebenarnya tidak banyak membantu penggodam untuk menceroboh Drupal. Mereka masih tertakluk untuk melakukan banyak kerja untuk mencari ruang bagaimana menembusi sistem pertahanan Drupal.


Baiklah, saya tunjukkan salah satu contoh: http://portalbanjir.mkn.gov.my/



Laman portal banjir di bawah seliaan pihak kerajaan ini menggunakan Drupal 6. Bagaimana mengenalinya? Mudah sahaja. Lihat kepada "source code" untuk laman hadapan. Drupal mempunyai beberapa penjenamaan namanya. Salah satu adalah menggunakan JQuery dengan menetapkan variable behaviour iaitu jQuery.extend(Drupal.settings.


Kemudian saya akses terus salah satu fail .txt dan yang menjadi target utama adalah fail "CHANGELOG.txt".



Apa yang dapat saya simpulkan, laman portal ini menggunakan versi Drupal 6.22. Jadi apa masalahnya? Baiklah. Sehingga saat ini (tarikh 25 Disember 2012), pihak komuniti Drupal.org telah melepaskan lima (5) versi terkini untuk dikemas kini iaitu Drupal 6.27. Jadi kita muat turun dan lihat kandungan fail changelog.txt untuk versi yang terkini.



Terdapat dua versi untuk isu sekuriti iaitu 6.23 dan 6.27 yang masing-masing melibatkan masalah Cross site scripting dan multiple vulnerabilities. Apa kelemahan yang terdapat pada kedua-dua lepasan versi ini boleh disemak pada pautan berikut: SA-CORE-2012-001 - Drupal Core - Multiple vulnerabilities dan SA-CORE-2012-004 - Drupal core - Multiple vulnerabilities.


# Jadi di mana kelemahan dan silapnya?


Jom kita lihat. Drupal 6.24 dilepaskan pada 2 Februari 2012. Pada hari ini 25 Disember 2012, tempohnya hampir 10 bulan dengan mempunyai dua lubang keselamatan yang boleh ditembusi dengan mudah. Bayangkan dalam tempoh ini, apa yang pihak pengodam boleh lakukan? Mengapa pihak berwajib sampai 10 bulan tiada langsung tindakan untuk mengemas kini Drupal ke versi terkini? Memang ramai yang mengetahui Drupal "kebal" dengan tahap keselamatan yang dikatakan sangat tinggi tetapi jika lubang dan arah ditunjukkan dengan jelas, bilik kebal yang menyimpan wang di bank pun boleh dicuri tanpa dikesan.


Secara logiknya, seandainya fail-fail .txt ini dibuang, bukan bermaksud lubang-lubang telah ditampal kerana Drupal masih kekal pada versi yang lapuk. Tetapi kita sekadar menutup ruang untuk pihak tidak bertanggung jawab meneroka apakah spesifikasi Drupal yang digunakan. Ini kerana tiada jalan lain yang boleh digunakan untuk mengetahui versi Drupal melainkan fail-fail ini.


** Entri ini ditulis untuk tujuan perhatian kepada semua pengguna Drupal bukan menunjukkan kelemahan sesuatu laman.

Kategori: 
Tags: 
security fix
fail txt
drupal 6