Breaking News
AMR | Citrix Webinar: The Next New Normal

นักวิจัยพบช่องโหว่อายุ 10 ปีบนโทรศัพท์ Avaya VoIP แนะผู้ใช้เร่งอัปเดต

นักวิจัยด้านความมั่นคงปลอดภัยจาก McAfee ได้ค้นพบช่องโหว่เก่าที่มีอายุกว่า 10 ปี หลงเหลืออยู่ในซอฟต์แวร์โอเพ่นซอร์สที่ใช้ในเฟิร์มแวร์ของโทรศัพท์ Avaya VoIP ซึ่งอาจนำไปสู่การลอบรันโค้ดเพื่อเข้าถึงการสนทนาเสียงได้

เครดิต : McAfee

ช่องโหว่หมายเลข CVE-2009-0692 ซึ่งจะเห็นได้ว่าอายุครบ 10 พอดี ได้ถูกพบในซอฟต์แวร์โอเพ่นซอร์สของ Avaya IP Deskphone ซีรี่ย์ 9600, IP Phone J100 และ Conference Phone B100 ทั้งนี้จะส่งผลกระทบต่อซอฟต์แวร์แสต็ก H.323 เท่านั้น (ไม่เกี่ยวกับ SIP) อย่างไรก็ดีช่องโหว่ข้างต้นเป็น Stack Buffer Overflow ใน ISC DHCP Client ที่คนร้ายสามารถส่ง DHCP Respond อันตรายกลับมาเพื่อทำให้เกิด Crash หรือ RCE

โดยนักวิจัยได้สาธิตช่องโหว่เพื่อลอบดักจับเสียงตามวีดีโอด้านล่าง หรือผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ McAfee สำหรับในฝั่งของ Avaya เองได้ออกแพตช์มาเรียบร้อยแล้ว ดังนั้นจึงแนะนำให้ผู้เกี่ยวข้องเร่งอัปเดตครับ แต่หลังจากแพตช์ปัญหาข้างต้นไป Avaya ก็ได้เผยการค้นพบช่องโหว่ CVE-2011-0997 เพิ่มใน ISC DHCP ที่ทำให้เกิด RCE ได้ไว้ใน Advisory  

ที่มา :  https://www.bleepingcomputer.com/news/security/avaya-voip-phones-harbored-10-year-old-vulnerability/ และ  https://www.zdnet.com/article/decade-old-remote-code-execution-bug-found-in-phone-used-by-up-to-90-percent-of-fortune-500/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ

สรุป Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift

หนึ่งในเรื่องที่คน IT หลายคนต้องเร่งเรียนรู้ในปีนี้ก็คือเรื่องของเทคโนโลยี Enterprise Container และในบทความนี้ทีมงาน TechTalkThai ก็จะขอสรุปเนื้อหาสั้นๆ จากงาน Red Hat Webinar: Developer Productivity on Kubernetes with Red Hat OpenShift เพื่อให้ทุกท่านได้รู้จักกับ Red Hat OpenShift กันมากขึ้นดังนี้ครับ