IBM Flashsystem

Talos เผยช่องโหว่จำนวนมากใน CPP และ Parity Ethereum Client

Talos ทีมวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ที่ค้นพบใน CPP และ Parity กระเป๋าเงินของ Ethereum พร้อมชี้แจงถึงความไม่ปลอดภัยของการใช้ Client ดังกล่าว

 

Credit: Talos
ช่องโหว่ต่างๆ ที่ Talos รายงานมีดังนี้
  • TALOS-2017-0503 / CVE-2017-14457 อธิบายถึงช่องโหว่แบบ Denial of Service (DOS) และแนวโน้มที่จะเกิด Memory Leak ใน libevm ฟังก์ชันการทำงานดังกล่าวปัจจุบันไม่ได้ถูกเปิดใช้งานเป็น default build แต่ช่องโหว่นี้จะกระทบต่อ Nodes ที่มีการเปิดฟังก์ชันนี้ใช้งานด้วยตนเองในระหว่างที่มีการ build
  • TALOS-2017-0508 / CVE-2017-14460 เป็นช่องโหว่ของการให้สิทธิ์อนุญาตในการ Cross-Domain (CORS) มากเกินไปใน Ethereum Parity Client สามารถนำไปสู่การรั่วไหลของข้อมูลที่เกี่ยวกับ Account ที่ใช้งานอยู่ในปัจจุบัน, การตั้งค่าของ Parity และข้อมูลการตั้งค่าเน็ตเวิร์ค แฮ็คเกอร์สามารถใช้ช่องโหว่นี้ในการแก้ไขข้อมูลบน Account, การตั้งค่าใน Parity ได้ หากมีการเปิดใช้งาน API บางอย่าง
  • TALOS-2017-0464 – TALOS-2017-0471 / CVE-2017-12112 – CVE-2017-12119 อธิบายถึงช่องโหว่การ Bypass การกำหนดสิทธิ์ (Authorization) จำนวนมาก ซึ่งช่วยให้ผู้ไม่หวังดีนำไปใช้ในการเข้าถึงข้อมูลหรือฟังก์ชันที่สามารถเข้าถึงได้ด้วยสิทธิ์ของ Administrative เท่านั้นโดยไม่จำเป็นต้องมี Credential ใดๆ
  • TALOS-2017-0471 / CVE-2017-12119 อีกหนึ่งช่องโหว่แบบ Denial of Service (DOS) ในส่วนของ CPP-Ethereum JSON-RPC การส่ง Request JSON แบบพิเศษสามารถก่อให้เกิด unhandled exception ขึ้น ส่งผลในรูปแบบ Denial of Service แฮ็คเกอร์สามารถส่ง malicious JSON เพื่อกระตุ้นให้เกิดช่องโหว่นี้ได้

ที่มา: http://blog.talosintelligence.com/2018/01/vulnerability-spotlight-multiple.html

About นักเขียนฝึกหัดหมายเลข 3

Check Also

โลกดิจิทัลหมุนเร็วจนน่าตกใจ! ทรูห่วงใย พร้อมปกป้องลูกค้าทุกคนจากภัยไซเบอร์ ทั้งแบบไม่มีค่าใช้จ่ายเพิ่มกับ True CyberSafe และแบบจัดพิเศษเมื่อใช้งานนอกเครือข่าย กับ F-Secure for True [PR]

ท่ามกลางความเสี่ยงในโลกยุคดิจิทัลที่ภัยออนไลน์คุกคามอย่างไม่หยุดยั้ง ทั้งรูปแบบลิงก์หลอกลวงทาง SMS โทรหลอกลวง ไปจนถึงเว็บไซต์อันตราย  ทรู คอร์ปอเรชั่น ลงทุนพัฒนานวัตกรรมบริการเพื่อป้องกันภัยไซเบอร์ให้ลูกค้าทรู ดีแทค และทรูออนไลน์ทุกคน  ด้วย 2 โซลูชันความปลอดภัยที่ตอบโจทย์ไลฟ์สไตล์ที่แตกต่าง

Chainguard สตาร์ทอัพความมั่นคงปลอดภัยโค้ดโอเพนซอร์ส ระดมทุน 356 ล้านดอลลาร์ มูลค่าแตะ 3.5 พันล้านดอลลาร์

Chainguard ซึ่งเป็นสตาร์ทอัพที่ช่วยให้นักพัฒนาสามารถมั่นใจได้ว่าโค้ดโอเพนซอร์สที่ใช้งานมีความมั่นคงปลอดภัย ประกาศระดมทุนรอบใหม่ได้ 356 ล้านดอลลาร์ ในรอบ Series D ที่นำโดย Kleiner Perkins และ IVP เพื่อเร่งการขยายตลาดและพัฒนาฟีเจอร์ใหม่ ๆ …