พนักงาน Google ตั้ง Operation Rosehub แพตช์ช่องโหว่ Mad Gadget ในโปรเจคโอเพ่นซอร์สบน Github

หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github  

ช่องโหว่ Deserialization ที่ว่านี้มีอยู่ใน Apache Commons Collections 7 เวอร์ชั่น (3.0, 3.1, 3.2, 3.2.1 และ 4.0) ซึ่งเป็นทื่ใช้กันอย่างแพร่หลายในซอฟต์แวร์ธุรกิจที่มีการ deserialize และส่งข้อมูลข้าม network ส่งผลให้ข้อมูลเหล่านี้ถูกจารกรรมได้โดยง่าย

แต่โปรเจคโอเพ่นซอร์สนั้นไม่เหมือนซอฟต์แวร์ธุรกิจที่มักมีการเฝ้าระวังด้านความปลอดภัยอยู่ตลอด พนักงานหญิงคนหนึ่งของกูเกิลค้นพบในเดือนมีนาคมปี 2016 ว่ายังมีโปรเจคโอเพ่นซอร์สจำนวนไม่น้อยเลยที่ยังมีช่องโหว่นี้ เธอจึงเริ่มส่ง pull request ไปยังโปรเจคต่างๆเพื่อขอแก้ไขโค้ดเพื่อแพตซ์ช่องโหว่นี้ การแก้ไขนี้สามารถทำได้อย่างง่ายและรวดเร็ว ไม่นานนักเธอจึงเริ่มชักชวนเพื่อนร่วมงานเข้ามาช่วยแพตซ์ช่องโหว่นี้ด้วยกัน

Operation Rosehub จึงเป็นปฏิบัติการที่เกิดขึ้นจากเหล่าพนักงานเองโดยไม่มีคำสั่งจากฝ่ายบริหารแต่อย่างใด ปฏิบัติการนี้มีพนักงานเข้าร่วมด้วยความสมัครใจทั้งหมด 50 คน และได้ส่งแพตซ์ไปยังโปรเจคที่มีปัญหาตามมผลการค้นหาด้วย regular expression ใน dataset ของ github ด้วย BigQuery ถึง 2600 โปรเจค หนึ่งในโปรเจคเหล่านั้นคือโปรเจคโอเพ่นซอร์สยอดนิยมอย่าง Spring Framework ซึ่งการแพตซ์จะช่วยปิดช่องโหว่กับซอฟต์แวร์ที่ใช้ framework นี้จำนวนมหาศาล

ทั้งนี้ทั้งนั้น หากเป็นการแพตซ์โปรแกรมภายใน กูเกิลเองมีเครื่องมือที่สามารถแก้ไขโค้ดใน codebase จำนวนมากไปพร้อมๆกันได้ในครั้งเดียวที่ชื่อว่า Rosie ทางทีมงานหวังว่าในอนาคตชุมชน opensource และ github จะเล็งเห็นความสำคัญของการมีเครื่องมือดังกล่าว

 

ที่มา: https://opensource.googleblog.com/2017/03/operation-rosehub.html

About PRY

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …