OpenBSD ออกแพตช์ช่องโหว่ 4 รายการ แนะผู้ใช้ควรอัปเดต

มีแพตช์อุดช่องโหว่จาก OpenBSD จำนวน 4 รายการ ซึ่งสามารถนำไปสูการยกระดับสิทธิ์และ Bypass การพิสูจน์ตัวตนได้

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ 4 รายการมีดังนี้

  • CVE-2019-19521 – เป็นช่องโหว่ในโปรโตคอลการพิสูจน์ตัวตน ซึ่งสามารถถูกใช้ได้หากคนร้ายสามารถระบุชื่อ Username ได้อย่างแน่นอนและยังใช้ผ่านทางไกลได้ผ่าน smtpd, ldapd และ radiusd เป็นต้น
  • CVE-2019-19520 – เป็นช่องโหว่ยกระดับสิทธิ์จากความผิดพลาดของการตรวจสอบ xlock ซึ่งหากคนร้ายมีสิทธิ์เข้าถึงใน local ได้จะสามารถใช้ช่องโหว่ด้วยการตั้งค่า Set-group-ID ‘auth’ ผ่าน xloc ซึ่งมีอยู่แล้วโดย Default
  • CVE-2019-19522 – เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดจากฟังก์ชัน ‘S/Key’ และ ‘YubiKey’ โดยจากรายงานของ Qualys กล่าวว่า “หากการพิสูจน์ตัวตนแบบ S/Key หรือ YubiKey ถูกเปิดอยู่ คนร้ายจะสามารถทำการยกระดับสิทธิ์ของ ‘Auth’ ได้ไปเป็น Root”
  • CVE-2019-19519 – ช่องโหว่ในฟังก์ชัน ‘SU’ ด้วย Option ‘-L’ โดยสาเหตุมาจากความผิดพลาดด้านลอจิกใน su/su.c

ปัจจุบันผู้ใช้งานสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 6.5 และ 6.6

ที่มา :  https://www.zdnet.com/article/openbsd-patches-severe-authentication-bypass-privilege-escalation-vulnerabilities/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ออกแพตช์ประจำเดือนธันวาคม 2024 แก้ไขช่องโหว่ Zero-day และอีก 71 รายการ

Microsoft ปล่อยแพตช์ความปลอดภัยประจำเดือนธันวาคม 2024 แก้ไขช่องโหว่ทั้งหมด 71 รายการ รวมถึงช่องโหว่ Zero-day ที่กำลังถูกโจมตีอยู่ 1 รายการ

True IDC แนะนำ! เพิ่ม Productivity ให้สูงปรี๊ด ด้วย Gemini for Google Cloud

ทุกวันนี้ แทบทุกองค์กรต่างเร่งหา Generative AI หรือ AI มาเพิ่ม Productivity ให้ธุรกิจในหลากหลายรูปแบบ เช่น การให้บริการลูกค้า (Customer Service), การพัฒนาซอฟต์แวร์ (Software …