Breaking News

Joomla ออกแพทช์อุดช่องโหว่ LDAP Injection อายุนานกว่า 8 ปี

Joomla ระบบ CMS ชื่อดัง ได้ออกแพทช์อุดช่องโหว่ LDAP Injection ที่มีอายุนานกว่า 8 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัญชีและรหัสผ่านของผู้ใช้และเข้าควบคุมเว็บไซต์ทั้งหมดได้ แนะนำให้ผู้ดูแลเว็บอัปเดตแพทช์ล่าสุดทันที

Credit: Joomla

ช่องโหว่ที่ค้นพบนี้มีรหัส CVE-2017-14596 เป็นช่องโหว่บน LDAP Authentication Plugin ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลชื่อบัญชีผู้ใช้และรหัสผ่านออกจาก LDAP Server ไปได้ ถึงแม้ว่า Joomla จะให้คะแนนความรุนแรงเป็น Medium แต่นักวิจัยด้านความมั่นคงปลอดภัยจาก RIPS Technologies ระบุว่า ปัญหานี้อาจใกล้เคียงกับความรุนแรงระดับ Critical ได้เลยทีเดียว

ทีมนักวิจัยระบุใน Blog ว่า ช่องโหว่นี้เป็นช่องโหว่ LDAP Injection บน Plugin ที่คอยควบคุมการล็อกอิน ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลรหัสผ่านของ Super User โดยใช้เทคนิค Blind Injection ได้ รวมไปถึงเข้าควบคุมระบบ Joomla ได้ภายในเวลาไม่กี่วินาที ที่สำคัญคือแฮ็คเกอร์ไม่จำเป็นต้องใช้สิทธิ์ระดับสูงในการโจมตีช่องโหว่ดังกล่าว และช่องโหว่นี้มีอายุนานถึง 8 ปีโดยที่ไม่มีใครค้นพบมาก่อน

ช่องโหว่ LDAP Injection นี้ส่งผลกระทบต่อ Joomla เวอร์ชัน 1.5.0 ถึง 3.7.5 จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่ามีการโจมตีผ่านช่องโหว่ดังกล่าวแล้วหรือไม่ แนะนำใช้ผู้ดูแลเว็บอัปเดตแพทช์เวอร์ชัน 3.8 โดยเร็ว

รายละเอียดเพิ่มเติม: https://developer.joomla.org/security-centre/711-20170902-core-ldap-information-disclosure

ที่มา: http://www.zdnet.com/article/joomla-patches-eight-year-old-critical-cms-bug/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

ETDA จัดแข่งขัน Thailand CTF Competition 2019 เฟ้นหาตัวแทนไปแข่งขันระดับโลก

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ประกาศจัดการแข่งขัน Thailand CTF Competition 2019 เพื่อเฟ้นหาสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ไปแข่งขันในงาน Security Contest 2019 (SECCON 2019) ระดับโลก นิสิตและนักศึกษาระดับอุดมศึกษา …