Breaking News

พบช่องโหว่ความรุนแรงสูงสุดบน Apache Struts 2 เตือนผู้ใช้งานอัปเดตด่วน

มีการค้นพบช่องโหว่ Remote Code Execution (RCE) บน Apache Struts 2 ที่ทาง Apache เองแนะนำให้ผู้ใช้งานทุกรายอัปเดตทันทีโดยด่วน

 

Credit: Apache

 

Semmle Security Research Team ได้ค้นพบช่องโหว่นี้ตั้งแต่เดือนเมษายน 2018 และได้รายงานไปยังทีมพัฒนาของ Apache จนได้ออก Patch เฉพาะกิจมาในเดือนมิถุนายน และออกเป็น Patch มาตรฐานในตอนนี้ โดยช่องโหว่นี้ได้รับรหัส CVE-2018-11776 และถือว่ามีความร้ายแรงระดับสูงสุด ซึ่งตัวช่องโหว่เองได้ปรากฎอยู่บน Core Code ของระบบเลย ไม่ได้เกี่ยวข้องกับ Plugin ใดๆ ที่ใช้งานทั้งสิ้น

ช่องโหว่นี้จะทำงานได้ก็ต่อเมื่อ

  • ตั้งค่า alwaysSelectFullNamespace เอาไว้เป็น True
  • มี Configuration File ที่มีแท็ก <action …> ซึ่งไม่ได้ระบุ Optional Namespace Attribute หรือมีการระบุ Wildcard Namespace เอาไว้

ถ้าหากผู้ใช้งานไม่ได้เข้าเงื่อนไขเหล่านี้ก็มีความเสี่ยงที่จะถูกโจมตีต่ำ แต่ทาง Apache ก็เตือนว่าในอนาคตอันใกล้อาจมีวิธีการโจมตีในช่องทางอื่นๆ ที่อาศัยช่องโหว่นี้ในการโจมตี ดังนั้นการอัปเดต Patch ก็จะช่วยลดความเสี่ยงได้ดีที่สุด

ก่อนหน้านี้ช่องโหว่บน Apache Struts นี้นำไปสู่กรณีของ Equifax อันโด่งดังที่ทำให้มีผู้เสียหายเกือบ 150 ล้านคน และสร้างความเสียหายให้กับ Equifax ไปมากกว่า 600 ล้านเหรียญ ประเด็นนี้จึงถือว่าใหญ่ไม่น้อยเพราะการโจมตีช่องโหว่นี้ก็อาจเกิดขึ้นได้ทุกเมื่อหากไม่ทำการอัปเดตอุดช่องโหว่ให้เร็วที่สุด

 

ที่มา: https://www.theregister.co.uk/2018/08/22/apache_struts_2_vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC

TechTalkThai ขอเรียนเชิญทุกท่านในสายงานด้าน IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "TechTalk Webinar: HTTP/3, How Cloudflare Help to Make the Internet Better โดย Cloudflare APAC" เพื่อรู้จักกับแนวคิดและการทำงานของ HTTP/3 อย่างเจาะลึก พร้อมกับโซลูชันของ Cloudflare ที่จะช่วยให้ Web Application ของคุณสามารถเริ่มต้นรองรับ HTTP/3 ได้ทันที ในวันอังคารที่ 26 พฤศจิกายน 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

ขอเชิญร่วมงาน AWS Community Day, Bangkok 2019 ครั้งแรกในเมืองไทย 24 พ.ย. 2019

AWS User Group Thailand จัดงาน AWS Community Day, Bangkok 2019 เป็นครั้งแรกในเมืองไทยที่มีการจัดการแข่ง AWS Security Jam สั่งตรงมาจากอเมริกา พร้อมทั้ง Keynote จากผู้เป็น AWS Evangelist ระดับตำนานอย่าง Randall Hunt ผู้เขียน Blog ของ AWS ให้พวกเราอ่านมาแล้วอย่างนับไม่ถ้วน Donnie เป็น AWS Evagelist ผู้อยู่เบื้องหลัง Meetup และ Hackathon ระดับ ASEAN และคุณส้ม Security Expert จาก AWS ProServ