Breaking News

พบช่องโหว่ความรุนแรงสูงสุดบน Apache Struts 2 เตือนผู้ใช้งานอัปเดตด่วน

มีการค้นพบช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 ที่ทาง Apache เองแนะนำให้ผู้ใช้งานทุกรายอัปเดตทันทีโดยด่วน

 

Credit: Apache

 

Semmle Security Research Team ได้ค้นพบช่องโหว่นี้ตั้งแต่เดือนเมษายน 2018 และได้รายงานไปยังทีมพัฒนาของ Apache จนได้ออก Patch เฉพาะกิจมาในเดือนมิถุนายน และออกเป็น Patch มาตรฐานในตอนนี้ โดยช่องโหว่นี้ได้รับรหัส CVE-2018-11776 และถือว่ามีความร้ายแรงระดับสูงสุด ซึ่งตัวช่องโหว่เองได้ปรากฎอยู่บน Core Code ของระบบเลย ไม่ได้เกี่ยวข้องกับ Plugin ใดๆ ที่ใช้งานทั้งสิ้น

ช่องโหว่นี้จะทำงานได้ก็ต่อเมื่อ

  • ตั้งค่า alwaysSelectFullNamespace เอาไว้เป็น True
  • มี Configuration File ที่มีแท็ก <action …> ซึ่งไม่ได้ระบุ Optional Namespace Attribute หรือมีการระบุ Wildcard Namespace เอาไว้

ถ้าหากผู้ใช้งานไม่ได้เข้าเงื่อนไขเหล่านี้ก็มีความเสี่ยงที่จะถูกโจมตีต่ำ แต่ทาง Apache ก็เตือนว่าในอนาคตอันใกล้อาจมีวิธีการโจมตีในช่องทางอื่นๆ ที่อาศัยช่องโหว่นี้ในการโจมตี ดังนั้นการอัปเดต Patch ก็จะช่วยลดความเสี่ยงได้ดีที่สุด

ก่อนหน้านี้ช่องโหว่บน Apache Struts นี้นำไปสู่กรณีของ Equifax อันโด่งดังที่ทำให้มีผู้เสียหายเกือบ 150 ล้านคน และสร้างความเสียหายให้กับ Equifax ไปมากกว่า 600 ล้านเหรียญ ประเด็นนี้จึงถือว่าใหญ่ไม่น้อยเพราะการโจมตีช่องโหว่นี้ก็อาจเกิดขึ้นได้ทุกเมื่อหากไม่ทำการอัปเดตอุดช่องโหว่ให้เร็วที่สุด

 

ที่มา: https://www.theregister.co.uk/2018/08/22/apache_struts_2_vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ซื้อไม่หยุด! VMware เผยแผนเข้าซื้อกิจการ Intrinsic ผู้พัฒนาเทคโนโลยีความปลอดภัยบน Serverless Computing

VMware ได้ออกมายืนยันถึงแผนการเข้าซื้อกิจการของ Instrinsic บริษัท Startup ด้าน Security สำหรับ Serverless Computing โดยไม่เปิดเผยมูลค่า

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …