Breaking News
AMR | Citrix Webinar: The Next New Normal

พนักงาน Google ตั้ง Operation Rosehub แพตช์ช่องโหว่ Mad Gadget ในโปรเจคโอเพ่นซอร์สบน Github

หลังจากมีการค้นพบและแพตซ์ช่องโหว่ Deserialization (หรือในอีกชื่อหนึ่ง: Mad Gadget) ใน Apache Commons Collections และซอฟต์แวร์สำหรับองค์กรหลายตัว พนักงานหญิงของกูเกิลคนหนึ่งค้นพบว่าโปรเจคโอเพ่นซอร์สบน github จำนวนมากยังคงมีช่องโหว่นี้อยู่ และนั่นเป็นจุดเริ่มต้นของปฏิบัติการแพตซ์โปรเจคโอเพ่นซอร์สมากกว่า 2,000 โปรเจคบน github  

ช่องโหว่ Deserialization ที่ว่านี้มีอยู่ใน Apache Commons Collections 7 เวอร์ชั่น (3.0, 3.1, 3.2, 3.2.1 และ 4.0) ซึ่งเป็นทื่ใช้กันอย่างแพร่หลายในซอฟต์แวร์ธุรกิจที่มีการ deserialize และส่งข้อมูลข้าม network ส่งผลให้ข้อมูลเหล่านี้ถูกจารกรรมได้โดยง่าย

แต่โปรเจคโอเพ่นซอร์สนั้นไม่เหมือนซอฟต์แวร์ธุรกิจที่มักมีการเฝ้าระวังด้านความปลอดภัยอยู่ตลอด พนักงานหญิงคนหนึ่งของกูเกิลค้นพบในเดือนมีนาคมปี 2016 ว่ายังมีโปรเจคโอเพ่นซอร์สจำนวนไม่น้อยเลยที่ยังมีช่องโหว่นี้ เธอจึงเริ่มส่ง pull request ไปยังโปรเจคต่างๆเพื่อขอแก้ไขโค้ดเพื่อแพตซ์ช่องโหว่นี้ การแก้ไขนี้สามารถทำได้อย่างง่ายและรวดเร็ว ไม่นานนักเธอจึงเริ่มชักชวนเพื่อนร่วมงานเข้ามาช่วยแพตซ์ช่องโหว่นี้ด้วยกัน

Operation Rosehub จึงเป็นปฏิบัติการที่เกิดขึ้นจากเหล่าพนักงานเองโดยไม่มีคำสั่งจากฝ่ายบริหารแต่อย่างใด ปฏิบัติการนี้มีพนักงานเข้าร่วมด้วยความสมัครใจทั้งหมด 50 คน และได้ส่งแพตซ์ไปยังโปรเจคที่มีปัญหาตามมผลการค้นหาด้วย regular expression ใน dataset ของ github ด้วย BigQuery ถึง 2600 โปรเจค หนึ่งในโปรเจคเหล่านั้นคือโปรเจคโอเพ่นซอร์สยอดนิยมอย่าง Spring Framework ซึ่งการแพตซ์จะช่วยปิดช่องโหว่กับซอฟต์แวร์ที่ใช้ framework นี้จำนวนมหาศาล

ทั้งนี้ทั้งนั้น หากเป็นการแพตซ์โปรแกรมภายใน กูเกิลเองมีเครื่องมือที่สามารถแก้ไขโค้ดใน codebase จำนวนมากไปพร้อมๆกันได้ในครั้งเดียวที่ชื่อว่า Rosie ทางทีมงานหวังว่าในอนาคตชุมชน opensource และ github จะเล็งเห็นความสำคัญของการมีเครื่องมือดังกล่าว

 

ที่มา: https://opensource.googleblog.com/2017/03/operation-rosehub.html



About PRY

Check Also

สรุป Webinar ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX

ก่อนหน้านี้ทางทีมงาน VMware ได้มาเล่าเรื่องในหัวข้อ"ปกป้อง Multi Cloud และ Container ให้สอดคล้องกับพ.ร.บ.ด้วย Intrinsic Security โดย VMware NSX" ในงาน TechTalk Webinar ซึ่งก็ถือเป็นอีกหนึ่งหัวข้อที่ได้รับความสนใจจากผู้อ่านค่อนข้างมาก ทางทีมงาน TechTalkThai จึงขอนำเนื้อหามาสรุปเอาไว้ให้ผู้ที่อาจจะไม่มีเวลาชมคลิปเองได้อ่านกันสั้นๆ ดังนี้ครับ

Fortinet Webinar Series EP #8: เตรียมความพร้อมในการป้องกันภัยไซเบอร์ขั้นสูงที่พุ่งเป้ามาที่อีเมลองค์กรได้อย่างไร

ความมั่นคงปลอดภัยของอีเมลยังคงเป็นเครื่องมือที่ช่วยสร้างประสิทธิภาพการทำงานสำหรับทุกองค์กรในปัจจุบัน แต่อีกนัยหนึ่งก็เป็นช่องทางยอดนิยมที่แฮ็กเกอร์ชอบใช้โจมตีระบบขององค์กรเสมอ