Breaking News

Adobe แพตช์เร่งด่วนอุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้จริงแล้ว

Adobe ได้ออกแพตช์ฉุกเฉินก่อนกำหนดอัปเดตจริงของเดือนมีนาคมเพื่ออุดช่องโหว่ Zero-day ที่คาดว่าถูกใช้งานจริงแล้ว โดยมีหมายเลขอ้างอิง CVE-2019-7816 ที่เกิดกับผลิตภัณฑ์ ColdFusion หรือแพลตฟอร์มที่ใช้พัฒนาเว็บแอปพลิเคชันของตน ดังนั้นแนะนำผู้ใช้รีบอัปเดต

ทาง Adobe ได่กล่าวถึงช่องโหว่ CVE-2019-7816 หรือช่องโหว่ ‘File upload security bypass’ ผ่านบล็อกว่า “การโจมตีต้องอาศัยความสามารถในการอัปโหลดโค้ดไปยังไดเรกทอรี่ของเว็บที่เข้าถึงได้ จากนั้นจึงลอบรันโค้ดได้ผ่านทาง HTTP Request ซึ่งการจำกัดการ Request กับไดเรกทอรี่ที่ให้อัปโหลดไฟล์สามารถบรรเทาปัญหาได้” 

สำหรับแพตช์คือ ColdFusion 11 Update 18, ColdFusion 2016 Update10 และ ColdFusion 2018 Update 3 โดยผู้ที่ได้เครดิตในการค้นพบคือ Charlie Arehart, Moshe Ruzin, Josh Ford, Jason Solarek และทีม Bridge Catalog ซึ่งเป็นนักพัฒนาของ ColdFusion เอง อย่างไรก็ตาม Adobe ไม่ได้ให้รายละเอียดของการถูกนำไปใช้จริง

ที่มา : https://www.zdnet.com/article/adobe-releases-out-of-band-update-to-patch-coldfusion-zero-day/ และ https://www.securityweek.com/adobe-patches-coldfusion-vulnerability-exploited-wild


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Intel แพตช์ช่องโหว่ร้ายแรงให้ BMC Firmware และช่องโหว่ TPM-Fail

เมื่อวันอังคารที่ผ่านมาได้มีการประกาศแพตช์จาก Intel ซึ่งมีหลายประเด็นที่น่าสนใจและกระทบทั้งเซิร์ฟเวอร์และ OEM Vendor ในวงกว้าง ทั้งนี้ 2 ประเด็นที่น่าสนใจก็คือช่องโหว่ร้ายแรงบน Baseboard Management Controller (BMC) และ fTPM

[Guest Post] ISS Consulting ร่วมออกบูธในงาน Dell Technologies Forum 2019

จบไปแล้วสำหรับงาน Dell Technologies Forum 2019 ซึ่งจัดขึ้นที่ ชั้น 2 ภิรัชฮอลล์ ศูนย์นิทรรศการและการประชุมไบเทค (BITEC) บางนา โดยในปีนี้ ISS Consulting นำ 2 โซลูชั่นที่น่าสนใจของ SAP มาเสนอในงาน