CDIC 2023

OpenBSD ออกแพตช์ช่องโหว่ 4 รายการ แนะผู้ใช้ควรอัปเดต

มีแพตช์อุดช่องโหว่จาก OpenBSD จำนวน 4 รายการ ซึ่งสามารถนำไปสูการยกระดับสิทธิ์และ Bypass การพิสูจน์ตัวตนได้

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ 4 รายการมีดังนี้

  • CVE-2019-19521 – เป็นช่องโหว่ในโปรโตคอลการพิสูจน์ตัวตน ซึ่งสามารถถูกใช้ได้หากคนร้ายสามารถระบุชื่อ Username ได้อย่างแน่นอนและยังใช้ผ่านทางไกลได้ผ่าน smtpd, ldapd และ radiusd เป็นต้น
  • CVE-2019-19520 – เป็นช่องโหว่ยกระดับสิทธิ์จากความผิดพลาดของการตรวจสอบ xlock ซึ่งหากคนร้ายมีสิทธิ์เข้าถึงใน local ได้จะสามารถใช้ช่องโหว่ด้วยการตั้งค่า Set-group-ID ‘auth’ ผ่าน xloc ซึ่งมีอยู่แล้วโดย Default
  • CVE-2019-19522 – เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดจากฟังก์ชัน ‘S/Key’ และ ‘YubiKey’ โดยจากรายงานของ Qualys กล่าวว่า “หากการพิสูจน์ตัวตนแบบ S/Key หรือ YubiKey ถูกเปิดอยู่ คนร้ายจะสามารถทำการยกระดับสิทธิ์ของ ‘Auth’ ได้ไปเป็น Root”
  • CVE-2019-19519 – ช่องโหว่ในฟังก์ชัน ‘SU’ ด้วย Option ‘-L’ โดยสาเหตุมาจากความผิดพลาดด้านลอจิกใน su/su.c

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 6.5 และ 6.6

ที่มา :  https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …