Code drupal xử lý công văn đi đến

Bản dịch này thuộc quyền sở hữu của THƯ VIỆN PHÁP LUẬT. Mọi hành vi sao chép, đăng tải lại mà không có sự đồng ý của THƯ VIỆN PHÁP LUẬT là vi phạm pháp luật về Sở hữu trí tuệ. THƯ VIỆN PHÁP LUẬT has the copyright on this translation. Copying or reposting it without the consent of THƯ VIỆN PHÁP LUẬT is a violation against the Law on Intellectual Property.

X

CÁC NỘI DUNG ĐƯỢC SỬA ĐỔI, HƯỚNG DẪN

Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

ĐĂNG KÝ THÀNH VIÊN MIỄN PHÍ ĐỂ

• Khai thác hơn 415.000 văn bản Pháp Luật
• Nhận Email văn bản mới hàng tuần
• Được hỗ trợ tra cứu trực tuyến
• Tra cứu Mẫu hợp đồng, Bảng giá đất
• ... và nhiều Tiện ích quan trọng khác

Họ và tên:Tên Thành Viên:Mật khẩu:E-mail:Điện thoại di động:Vui lòng nhập thêm số điện thoại để chúng tôi hỗ trợ bạn tốt hơnThỏa Ước Dịch Vụ:Tôi đã đọc và đồng ýBạn đã là thành viên thì đăng nhập để sử dụng tiện íchTên Thành Viên:Mật khẩu:Đăng nhập bằng Google

Số hiệu:109/VNCERT-KTHT&GSLoại văn bản:Công vănNơi ban hành:Trung tâm Ứng cứu khẩn cấp máy tính Việt NamNgười ký:Ngô Quang HuyNgày ban hành:23/04/2018Ngày hiệu lực:Đã biếtTình trạng:Đã biết

Cảnh báo 02 lỗ hổng ATTT hệ quản trị nội dung Drupal

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam vừa ban hành Công văn 109/VNCERT-KTHT&GS về cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal.

Theo đó, để đảm bảo an toàn, bảo mật thông tin mạng, các cơ quan, tổ chức có website sử dụng Drupal cần chú ý 02 lỗ hổng an toàn sau:

1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution)

- Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002

- Mức độ nguy hiểm là nghiêm trọng

- Mô tả ảnh hưởng:

+ Cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện,...lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal.

+ Hiện nay, ảnh hưởng trên diện rộng đã có một số hacker khai thác lỗ hổng Druapal để phục vụ đào tiền ảo.

2. Lỗ hổng tấn công kịch bản liên trang (Cross Site Scripting)

- Mã lỗi quốc tế: SA-CORE-2018-003

- Mức độ nghiêm trọng: Cao

- Mô tả ảnh hưởng:

+ Ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scripting (XSS);

+ Lỗ hổng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi sử dụng Plugin Image2 trong phiên bản Drupal 8.

Xem chi tiết các giải pháp xử lý tại Công văn 109/VNCERT-KTHT&GS ngày 23/4/2018.

BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 109/VNCERT-KTHT&GS
V/v cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal

Hà Nội, ngày 23 tháng 04 năm 2018

Kính gửi:

- Các đơn vị chuyên trách về CNTT, ATTT: Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ;
- Các đơn vị chuyên trách về CNTT, ATTT các Bộ, ngành;
- Các Sở Thông tin và Truyền thông;
- Các Thành viên Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia;
- Các Tổng công ty, Tập đoàn kinh tế; các tổ chức Tài chính, Ngân hàng và Chứng khoán; các Doanh nghiệp hạ tầng Internet, Viễn thông, Điện lực, Hàng không, Giao thông vận tải, Dầu khí;
- Các đơn vị thuộc Bộ Thông tin và Truyền thông.

Hệ quản trị nội dung Drupal (Drupal CMS) mã nguồn mở hiện là một trong các hệ quản trị nội dung được sử dụng khá phổ biến để xây dựng các trang/cổng thông tin điện tử, ứng dụng web (gọi chung là Website) cho các cơ quan đơn vị với các ưu điểm là đơn giản, linh hoạt hỗ trợ nhiều loại CSDL như MySQL, PostgreSQL, SQLite, MS SQL Server, Oracle và có thể mở rộng để hỗ trợ các CSDL NoSQL.

Trong hai năm 2017 và 2018, Drupal đã công bố 7 lỗ hổng bảo mật, nhưng chỉ riêng từ cuối tháng 3 đến nay đã bộc lộ 2 lỗ hổng bảo mật có mức độ nguy hiểm cao đến nghiêm trọng cần được theo dõi xử lý khẩn cấp. Số lượng website Drupal tại Việt nam là khá nhiều nhưng Drupal thường được sử dụng đối với các website có quy mô vừa và nhỏ. Drupal ít được sử dụng cho các hệ thống nghiệp vụ quan trọng của các tổ chức Ngân hàng, tài chính. Qua công tác hỗ trợ một số đơn vị khắc phục sự cố do Drupal vừa qua, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam nhận thấy thực tế website do đối tác bên ngoài xây dựng không bàn giao đầy đủ nên đơn vị vận hành website, thậm chí cả cán bộ kỹ thuật chủ chốt không biết rõ cổng/trang thông tin điện tử được phát triển trên nền tảng Drupal nên dẫn đến tình trạng chủ quan, bỏ qua lỗ hổng an toàn thông tin đã được cảnh báo, có thể bị tấn công gây mất an toàn thông tin. Do đó kính đề nghị các cơ quan, tổ chức quan tâm kiểm tra để phát hiện triệt để các website có sử dụng Drupal.

Trong trường hợp có website sử dụng Drupal thì cần chú ý hai lỗ hổng an toàn thông tin sau đây:

1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution)

1.1 Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002

1.2 Mức độ nghiêm trọng: Nghiêm trọng

Mức độ nguy hiểm là nghiêm trọng do:

+ Khi khai thác thành công, tin tặc sẽ dễ dàng cài đặt các phần mềm mã độc, phần mềm khai thác, phần mềm điều khiển trái phép toàn quyền điều khiển hệ thống.

+ Kỹ thuật khai thác rất dễ thực hiện, không yêu cầu bất cứ điều kiện gì kèm thêm.

+ Không yêu cầu quyền truy cập hệ thống.

+ Có thể sửa và xóa dữ liệu.

+ Máy tính bị khai thác có thể trở thành bàn đạp khai thác các máy tính khác trong cùng vùng mạng.

1.3 Thời điểm công bố lỗ hổng: 28/3/2018

1.4 Thời điểm công bố mã khai thác: 13/4/2018 một số webiste đã công bố mã khai thác thí điểm lỗ hổng.

1.5 Mô tả ảnh hưởng: cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện v.v.., lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal, xem chi tiết trong phần giải pháp xử lý sự cố.

Hiện nay ảnh hưởng trên diện rộng đã có một số hacker khai thác lỗ hổng Drupal để phục vụ đào tiền ảo.

1.6 Giải pháp cập nhật Drupal

Drupal đã cung cấp khá đầy đủ các bản vá và xử lý lỗi cho lỗ hổng CVE- 2018-7600 hoặc SA-CORE-2018-002, quản trị hệ thống xem xét xử lý theo hướng dẫn được tổng hợp từ Drupal như sau:

1. Khi sử dụng Drupal 7.x cần nâng cấp phiên bản 7.5.8. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá link dưới đây: https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

2. Sử dụng phiên bản Drupal 8.5.x thì cập nhật lên phiên bản 8.5.1. Trong trường hợp không nâng cấp ngay lập tức thì cài đặt bản vá link dưới đây https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

3. Nếu đang sử dụng các phiên bản Drupal 8.3 hoặc 8.4 thì nhanh chóng nâng cấp lên phiên bản 8.5.1. Trong trường hợp không thể thực hiện thì có thể sử dụng hai biện pháp tạm thời sau (tuy nhiên các biện pháp này vẫn còn tiềm ẩn nhiều rủi ro khác):

a. Nếu đang sử dụng Drupal 8.3.x thì nâng cấp lên phiên bản 8.3.9 và cài đặt bản vá tại đường dẫn sau đây https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

b. Nếu đang sử dụng Drupal 8.4.x thì nâng cấp lên phiên bản 8.4.6 và cài đặt bản vá tại đường dẫn sau đây https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

1.7 Các giải pháp hỗ trợ khác

Thiết lập thiết bị IPS, Tường lửa bảo vệ lớp 7 hoặc Tường lửa bảo vệ ứng dụng web (Web Application firewall) và cập nhật đầy đủ thông tin để có thể ngăn chặn được các tấn công lỗ hổng.

Với các thiết bị chưa được nhà sản xuất cập nhật khả năng ngăn chặn tấn công CVE-2018-7600 (hoặc SA-CORE-2018-002), thì tham khảo đoạn mã phát hiện tấn công sau được viết cho phần mềm phát hiện xâm nhập nguồn mở Snort:

alert http $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"Drupalgeddon2 (CVE-2018-7600)"; flow: to_server, established; content: "POST"; http_method; content:"markup"; fast_pattern; content: "/user/register"; http_uri; pcre:”/(access_callback|pre_render|lazy_builder|post_render)/i"; classtype:web-application-attack; sid:9000110; rev:1

2. Lỗ hổng tấn công kịch bản liên trang (Cross Site Scriptting)

2.1 Mã hỗi quốc tế: SA-CORE-2018-003

2.2 Mức độ nghiêm trọng: Cao

2.3 Thời điểm công bố: 18/4/2018

2.4 Mô tả ảnh hưởng

Ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này đã xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scripting (XSS). Lỗ hổng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi có sử dụng Plugin Image2 (Plugin này cũng được sử dụng trong phiên bản Drupal 8).

2.5 Giải pháp xử lý:

1. Sử dụng Drupal 8, cần nâng cấp lên bản 8.5.2 hoặc 8.4.7

2. Sử dụng Drupal 7.x, chỉ bị ảnh hưởng bởi lỗ hổng trên nếu sử dụng CKEditor module 7.x-1.18 hoặc CKEditor từ CDN.

3. Nếu cài đặt CKEditor với Drupal 7 bằng các phương thức riêng như (sử dụng WYSIWYG module, CKEditor locally) và sử dụng các phiên bản CKEditor từ 4.5.11 tới 4.9.1, thì cần cập nhật thư viện third-party JavaScript library tại địa chỉ https://ckeditor.com/ckeditor-4/download/

Việc cập nhật phần mềm Drupal cho các website/cổng thông tin điện tử có thể dẫn đến một số trục trặc trong khi đó đây là phần mềm mã nguồn mở nên việc hỗ trợ từ cộng đồng và nhà sản xuất còn hạn chế. Do đó cần thử nghiệm và nghiên cứu kỹ trước khi thực hiện các biện pháp cập nhật cho các hệ thống lớn, yêu cầu tính sẵn sàng cao để hạn chế rủi ro.

Mọi thông tin chi tiết và đề nghị hỗ trợ kỹ thuật vui lòng liên hệ đầu mối của Trung tâm VNCERT: Ông Nguyễn Thanh Minh - Phụ trách Phòng Kỹ thuật hệ thống và Giám sát; email: [email protected]; điện thoại: 0904240888.

Trân trọng./.

Nơi nhận:
- Như trên;
- Thứ trưởng Nguyễn Thành Hưng (để b/c);
- Giám đốc (để b/c);
- PGĐ Nguyễn Khắc Lịch (để p/h);
- Các phòng, chi nhánh: ĐPƯC, NCPT, TVĐT, CNHCM, CNĐN;
- Lưu VT, KTHT&GS.

KT. GIÁM ĐỐC
PHÓ GIÁM ĐỐC

Ngô Quang Huy

Công văn 109/VNCERT-KTHT&GS năm 2018 về cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam ban hành

Văn bản này chưa cập nhật nội dung Tiếng Anh

Công văn 109/VNCERT-KTHT&GS ngày 23/04/2018 về cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam ban hành

Công văn 109/VNCERT-KTHT&GS 2018 cảnh báo lỗ hổng an toàn thông tin ...

Chọn văn bản so sánh thay thế:

NỘI DUNG SỬA ĐỔI, HƯỚNG DẪN

Nội dung sửa đổi, hướng dẫn

Chú thích:

Rà chuột vào nội dụng văn bản để sử dụng.

= Nội dung thay thế tương ứng;

= Không có nội dung thay thế tương ứng;

= Không có nội dung bị thay thế tương ứng;

= Nội dung được sửa đổi, bổ sung.

Click trái để xem cụ thể từng nội dung cần so sánh và cố định bảng so sánh.

Click phải để xem những nội dung sửa đổi, bổ sung.

Double click để xem tất cả nội dung không có thay thế tương ứng.

Tắt so sánh [X] để trở về trạng thái rà chuột ban đầu.

FILE ĐƯỢC ĐÍNH KÈM THEO VĂN BẢN

FILE ATTACHED TO DOCUMENT

Địa chỉ:17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q.3, TP.HCMĐiện thoại:(028) 3930 3279 (06 lines)E-mail:[email protected]

IP: 131.186.25.160

Xin chân thành cảm ơn Thành viên  đã sử dụng www.ThuVienPhapLuat.vn

1. 1. THƯ VIỆN PHÁP LUẬT phiên bản hoàn toàn mới cung cấp nhiều tiện ích tra cứu nâng cao, lọc kết quả tìm kiếm văn bản chính xác, nhanh chóng theo nhu cầu;
2. 2. Nội dung chỉ dẫn, sửa đổi, bổ sung, các văn bản liên quan đánh dấu bằng màu chi tiết rõ ràng, công cụ lược đồ và nhiều tiện ích khác;
3. 3. Cập nhật liên tục tin tức văn bản mới, chính sách pháp luật mới nhất;
4. Tra cứu hơn 280.000 văn bản Pháp Luật;
5. 4. Tải về đa dạng văn bản gốc, PDF, văn bản file word, văn bản tiếng anh;
6. 5. Cá nhân hóa: Quản lý thông tin cá nhân và cài đặt lưu trữ văn bản quan tâm theo nhu cầu;
7. 6. Được hỗ trợ pháp lý sơ bộ qua điện thoại, mail, zalo nhanh chóng;
8. 7. Tra cứu hơn 395.000 văn bản, tìm nhanh văn bản bằng giọng nói.

TP. HCM, ngày 31/05/2021

Thưa Quý khách,

Đúng 14 tháng trước, ngày 31/3/2020,  THƯ VIỆN PHÁP LUẬT đã bật Thông báo này, và nay 31/5/2021 xin bật lại.

Hơn 1 năm qua, dù nhiều khó khăn, chúng ta cũng đã đánh thắng Covid 19 trong 3 trận đầu. Trận 4 này, với chỉ đạo quyết liệt của Chính phủ, chắc chắn chúng ta lại thắng.

Là sản phẩm online, nên 250 nhân sự chúng tôi vừa làm việc tại trụ sở, vừa làm việc từ xa qua Internet ngay từ đầu tháng 5/2021.

Sứ mệnh của THƯ VIỆN PHÁP LUẬT là:

      sử dụng công nghệ cao để tổ chức lại hệ thống văn bản pháp luật,

      và kết nối cộng đồng Dân Luật Việt Nam,

nhằm:

      Giúp công chúng “…loại rủi ro pháp lý, nắm cơ hội làm giàu…”,

      và cùng công chúng xây dựng, thụ hưởng một xã hội pháp quyền trong tương lai gần;

Chúng tôi cam kết dịch vụ sẽ được cung ứng bình thường trong mọi tình huống.

TP. HCM, ngày 20/07/2022

Thư Xin Lỗi Vì Đang Bị Tấn Công DDoS

THƯ VIỆN PHÁP LUẬT chân thành xin lỗi Quý khách vì website không vào được hoặc vào rất chậm trong hơn 1 ngày qua.

Khoảng 8 giờ sáng ngày 19/7/2022, trang www.ThuVienPhapLuat.vn có biểu hiện bị tấn công DDoS dẫn đến quá tải. Người dùng truy cập vào web không được, hoặc vào được thì rất chậm.

THƯ VIỆN PHÁP LUẬT đã báo cáo và nhờ sự hỗ trợ của Trung Tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC), nhờ đó đã phần nào hạn chế hậu quả của cuộc tấn công.

Đến chiều ngày 20/07 việc tấn công DDoS vẫn đang tiếp diễn, nhưng người dùng đã có thể sử dụng, dù hơi chậm, nhờ các giải pháp mà NCSC đưa ra.

DDoS là hình thức hacker gửi lượng lớn truy cập giả vào hệ thống, nhằm gây tắc nghẽn hệ thống, khiến người dùng không thể truy cập và sử dụng dịch vụ bình thường trên trang www.ThuVienPhapLuat.vn .

Tấn công DDoS không làm ảnh hưởng đến dữ liệu, không đánh mất thông tin người dùng. Nó chỉ làm tắc nghẽn đường dẫn, làm khách hàng khó hoặc không thể truy cập vào dịch vụ.

Ngay khi bị tấn công DDoS, THƯ VIỆN PHÁP LUẬT đã họp xem thời gian qua mình có làm sai hay gây thù chuốc oán với cá nhân tổ chức nào không.

Và nhận thấy mình không gây thù với bạn nào, nên chưa hiểu được mục đích của lần DDoS này là gì.

Sứ mệnh của THƯ VIỆN PHÁP LUẬT là:

• sử dụng công nghệ cao để tổ chức lại hệ thống pháp luật
• và kết nối cộng đồng dân luật Việt Nam,

• nhằm giúp công chúng loại rủi ro pháp lý, nắm cơ hội làm giàu,
• và cùng công chúng xây dựng, thụ hưởng nhà nước pháp quyền.

Luật sư Nguyễn Thụy Hân, Phòng Cộng Đồng Ngành Luật cho rằng: “Mỗi ngày chúng tôi hỗ trợ pháp lý cho hàng ngàn trường hợp, phổ cập kiến thức pháp luật đến hàng triệu người, thiết nghĩ các hacker chân chính không ai lại đi phá làm gì”.

Dù thế nào, để xảy ra bất tiện này cũng là lỗi của chúng tôi, một lần nữa THƯ VIỆN PHÁP LUẬT xin gửi lời xin lỗi đến cộng đồng, khách hàng.

Thùy ChiHỗ trợ trực tuyến

Chào mừng anh (chị) đến với THƯ VIỆN PHÁP LUẬT

Hãy để chúng tôi hỗ trợ thông tin đến anh (chị)!

Cảm ơn đã dùng ThuVienPhapLuat.vn

• Bạn vừa bị Đăng xuất khỏi Tài khoản .
• Hiện tại có đủ người dùng cùng lúc,
  nên khi người thứ vào thì bạn bị Đăng xuất.
• Có phải do Tài khoản của bạn bị lộ mật khẩu
  nên nhiều người khác vào dùng?
• Hỗ trợ: (028) 3930.3279 _ 0906.229966
• Xin lỗi Quý khách vì sự bất tiện này!

Tài khoản hiện đã đủ người dùng cùng thời điểm.

Quý khách Đăng nhập vào thì sẽ
có 1 người khác bị Đăng xuất.

Tài khoản của Quý Khách đẵ đăng nhập quá nhiều lần trên nhiều thiết bị khác nhau, Quý Khách có thể vào đây để xem chi tiết lịch sử đăng nhập

Có thể tài khoản của bạn đã bị rò rỉ mật khẩu và mất bảo mật, xin vui lòng đổi mật khẩu để tiếp tục sử dụng