OpenBSD ออกแพตช์ช่องโหว่ 4 รายการ แนะผู้ใช้ควรอัปเดต

มีแพตช์อุดช่องโหว่จาก OpenBSD จำนวน 4 รายการ ซึ่งสามารถนำไปสูการยกระดับสิทธิ์และ Bypass การพิสูจน์ตัวตนได้

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ 4 รายการมีดังนี้

  • CVE-2019-19521 – เป็นช่องโหว่ในโปรโตคอลการพิสูจน์ตัวตน ซึ่งสามารถถูกใช้ได้หากคนร้ายสามารถระบุชื่อ Username ได้อย่างแน่นอนและยังใช้ผ่านทางไกลได้ผ่าน smtpd, ldapd และ radiusd เป็นต้น
  • CVE-2019-19520 – เป็นช่องโหว่ยกระดับสิทธิ์จากความผิดพลาดของการตรวจสอบ xlock ซึ่งหากคนร้ายมีสิทธิ์เข้าถึงใน local ได้จะสามารถใช้ช่องโหว่ด้วยการตั้งค่า Set-group-ID ‘auth’ ผ่าน xloc ซึ่งมีอยู่แล้วโดย Default
  • CVE-2019-19522 – เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดจากฟังก์ชัน ‘S/Key’ และ ‘YubiKey’ โดยจากรายงานของ Qualys กล่าวว่า “หากการพิสูจน์ตัวตนแบบ S/Key หรือ YubiKey ถูกเปิดอยู่ คนร้ายจะสามารถทำการยกระดับสิทธิ์ของ ‘Auth’ ได้ไปเป็น Root”
  • CVE-2019-19519 – ช่องโหว่ในฟังก์ชัน ‘SU’ ด้วย Option ‘-L’ โดยสาเหตุมาจากความผิดพลาดด้านลอจิกใน su/su.c

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 6.5 และ 6.6

ที่มา :  https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เผยเครื่องมือ ‘Sustainability Calculator’ ประเมินการปล่อยคาร์บอนจาก Azure

Microsoft ได้เผยเครื่องมือใหม่ที่ชื่อว่า ‘Sustainability Calculator’ โดยผู้ใช้งาน Azure จะสามารถตรวจสอบได้ว่าบริการที่เราใช้อยู่นั้นมีการปล่อยคาร์บอน (CO) ออกมามากแค่ไหน

TechTalk Webinar: ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software

TechTalkThai ขอเรียนเชิญ IT Manager, IT Security Manager, IT Security Engineer, IT Compliance Officer และผู้ดูแลระบบ IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software" เพื่อทำความรู้จักกับเทคโนโลยีในการตรวจสอบการเข้าถึงสองระบบสำคัญอย่าง Microsoft AD และ File Sharing ตอบโจทย์ด้าน Security และ Compliance โดยเฉพาะ ในวันศุกร์ที่ 24 มกราคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้