Microsoft Azure by Ingram Micro (Thailand)

OpenBSD ออกแพตช์ช่องโหว่ 4 รายการ แนะผู้ใช้ควรอัปเดต

มีแพตช์อุดช่องโหว่จาก OpenBSD จำนวน 4 รายการ ซึ่งสามารถนำไปสูการยกระดับสิทธิ์และ Bypass การพิสูจน์ตัวตนได้

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ 4 รายการมีดังนี้

  • CVE-2019-19521 – เป็นช่องโหว่ในโปรโตคอลการพิสูจน์ตัวตน ซึ่งสามารถถูกใช้ได้หากคนร้ายสามารถระบุชื่อ Username ได้อย่างแน่นอนและยังใช้ผ่านทางไกลได้ผ่าน smtpd, ldapd และ radiusd เป็นต้น
  • CVE-2019-19520 – เป็นช่องโหว่ยกระดับสิทธิ์จากความผิดพลาดของการตรวจสอบ xlock ซึ่งหากคนร้ายมีสิทธิ์เข้าถึงใน local ได้จะสามารถใช้ช่องโหว่ด้วยการตั้งค่า Set-group-ID ‘auth’ ผ่าน xloc ซึ่งมีอยู่แล้วโดย Default
  • CVE-2019-19522 – เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดจากฟังก์ชัน ‘S/Key’ และ ‘YubiKey’ โดยจากรายงานของ Qualys กล่าวว่า “หากการพิสูจน์ตัวตนแบบ S/Key หรือ YubiKey ถูกเปิดอยู่ คนร้ายจะสามารถทำการยกระดับสิทธิ์ของ ‘Auth’ ได้ไปเป็น Root”
  • CVE-2019-19519 – ช่องโหว่ในฟังก์ชัน ‘SU’ ด้วย Option ‘-L’ โดยสาเหตุมาจากความผิดพลาดด้านลอจิกใน su/su.c

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 6.5 และ 6.6

ที่มา :  https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ปิดดีลเข้าซื้อ Splunk มูลค่า 1 ล้านล้านบาท

หลังจากผ่านการตรวจสอบอย่างเข้มข้นจนได้รับอนุมัติเรียบร้อย ล่าสุดทาง Cisco ได้ประกาศถึงความสำเร็จในการเข้าซื้อกิจการของ Splunk ที่มูลค่า 28,000 ล้านเหรียญหรือราวๆ 1 ล้านล้านบาทอย่างเป็นทางการแล้ว

NVIDIA เปิดตัว NIM Microservices และ Cloud Endpoints ใหม่ ช่วยองค์กรพัฒนา Generative AI ใช้งานได้สะดวกขึ้น

NVIDIA เปิดตัว API และเครื่องมือใหม่สำหรับการพัฒนาและใช้งาน Generative AI ในงานสัมมนา NVIDIA GTC 2024 ซึ่งจะช่วยให้การพัฒนาและนำเทคโนโลยีดังกล่าวมาใช้งานสะดวกรวดเร็วยิ่งขึ้นตั้งแต่ขั้นตอนการจัดเตรียมข้อมูล ปรับแต่งโมเดล ไปจนถึงการรักษาความปลอดภัยด้วย Guardrails