Ingram SUSE

Qualys ประกาศเตือนช่องโหว่ขั้นรุนแรงบน Linux GNU C Library

qualys_logo

ทีมวิจัยของ Qualys บริษัทให้คำปรึกษาด้านความปลอดภัยชื่อดัง ได้ประกาศการค้นพบช่องโหว่ระดับอันตรายบน Linux GNU C Library (gblic) ซึ่งช่วยให้แฮ็คเกอร์สามารถรีโมทเข้ามาควบคุมเครื่องคอมพิวเตอร์ทั้งหมดโดยไม่จำเป็นต้องอาศัยชื่อผู้ใช้หรือรหัสผ่านใดๆของเครื่อง

Qualys ได้ทำงานอย่างใกล้ชิดกับทาง Linux มาอย่างช้านานในการตรวจหาช่องโหว่และจัดการเรื่องแพทช์เพื่ออุดช่องโหว่เหล่านั้น ซึ่งช่องโหว่บน Linux GNU C Library เป็นช่องโหว่ระดับรุนแรงสูงตัวล่าสุดที่ค้นพบโดยมีชื่อว่า GHOST (CVE-2015-0235) เนื่องจากมันจะเริ่มทำงานเมื่อเรียกฟังก์ชัน gethostbyname ซึ่งช่องโหว่ดังกล่าวถูกค้นพบครั้งแรกบน Linux ที่ใช้ glibc-2.2 ที่ออกมาเมื่อวันที่ 10 พฤศจิกายน 2000

ช่องโหว่ GHOST ถูกแก้ไขเมื่อวันที่ 21 พฤษภาคม 2013 ในระหว่างการอัพเดท glibc-2.17 และ glibc-2.18 แต่การแก้ไขดังกล่าวไม่ได้ถูกจัดให้เป็น Security Advisory ส่งผลให้ Linux ที่เป็นเวอร์ชัน Stable และ Long Term Support หลายเวอร์ชันไม่ได้ถูกอุดช่องโหว่ดังกล่าว ไม่ว่าจะเป็น Debian 7 (wheezy), Red Hat Enterprise Linux 6 และ 7, Cent OS 6 และ 7 และ Ubuntu 12.04

Credit: wk1003mike/ShutterStock
Credit: wk1003mike/ShutterStock

“GHOST ก่อให้เกิดความเสี่ยงที่แฮ็คเกอร์จะรีโมทมารันโค้ดบนเครื่องของเหยื่อได้ไม่ยากนัก ยกตัวอย่างเช่น แฮ็คเกอร์สามารถส่งอีเมลล์มายังเครื่อง Linux แล้วสามารถเข้าควบคุมเครื่องนั้นๆได้โดยอัตโนมัติ เป็นต้น และด้วยจำนวนเครื่อง Linux ที่ใช้งาน glibc เวอร์ชันที่มีช่องโหว่นี้อยู่ เราเชื่อว่ามันเป็นอะไรที่ร้ายแรงมากและควรรีบแก้ไขปัญหานี้โดยเร็ว วิธีที่ดีที่สุด คือ อัพเดทแพทช์เพื่ออุดช่องโหว่นี้ซะ” — Wolfgang Kandek CTO ของ Qualys ให้ข้อมูล

รายละเอียดเพิ่มเติม: https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

ที่มา: http://www.net-security.org/secworld.php?id=17878

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

NVIDIA เปิดตัวชิป CPU ในดาต้าเซ็นเตอร์ตัวแรก พร้อมนวัตกรรมใหม่ๆในงาน GTC 2021

ที่งาน Graphics Technology Conference (GTC) 2021 ของ Nvidia มีข่าวใหม่น่าตื่นตาตื่นใจจาก Nvidiaหลายอย่าง โดยไฮไลต์คือการประกาศเปิดตัว CPU ระดับดาต้าเซ็นเตอร์ตัวแรก รวมถึง Data Processing …