พบช่องโหว่ใน Samba Server เปิดให้ผู้โจมตีเปลี่ยนรหัสผ่านผู้ใช้งาน และทำ DoS ได้ ควร Patch ทันที

ทีมพัฒนา Samba ระบบ Open Source File Sharing ได้ออก Patch ล่าสุดมาอุดช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการเปลี่ยนรหัสผ่านของผู้ใช้งาน และทำ Denial of Service (DoS) เพื่อให้ระบบหยุดทำงานได้

 

Credit: Samba

 

ช่องโหว่ DoS นี้ได้รับรหัส CVE-2018-1050 ที่ส่งผลกระทบต่อ Samba ทุกรุ่นตั้งแต่รุ่น 4.0.0 เป็นต้นมา โดยช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อ RPC spoolss service นั้นถูกกำหนดค่าให้ทำงานในแบบ External Daemon ซึ่งผู้โจมตีสามารถทำการส่งชุด Parameter ที่สร้างขึ้นมาสำหรับเจาะช่องโหว่นี้โดยเฉพาะมาเพื่อทำให้ print spooler หยุดทำงานได้

อีกช่องโหว่หนึ่งได้รับรหัส CVE-2018-1057 โดยเป็นช่องโหว่ที่เปิดให้ผู้ที่ไม่ได้ยืนยันตัวตนเข้ามาในระบบ สามารถทำการเปลี่ยนรหัสผ่านของผู้ใช้งานคนใดๆ ในระบบก็ได้หากเปิดใช้งาน Samba Active Directory DC เนื่องจากไม่ได้มีการ Validate Permission ของผู้ใช้งานที่ทำการร้องขอการเปลี่ยนรหัสผ่านบน LDAP อย่างถูกต้อง โดยส่งผลกระทบต่อผู้ใช้งาน Samba ทุกรุ่นตั้งแต่รุ่น 4.0.0 เป็นต้นมาเช่นกัน

ทีมพัฒนา Samba ระบุว่าผู้ใช้งาน Samba ทั้งหมดควรอัปเดต Patch ล่าสุดทันที โดยรายละเอียดฉบับเต็มของช่องโหว่และ Patch นั้นอยู่ที่ https://www.samba.org/samba/security/ ครับ

 

ที่มา: https://thehackernews.com/2018/03/samba-server-vulnerability.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

OpenBSD ปิดใช้งาน Hyper-Threading ของชิป Intel เหตุด้านความมั่นคงปลอดภัย

OpenBSD ประกาศวันนี้ว่ามีแผนยกเลิกการรองรับการทำงานแบบ Hyper-Threading ของชิปประมวลผล Intel เพื่อแก้ปัญหาด้านความมั่นคงปลอดภัยเพราะเชื่อว่าอาจจะมี Bug ระดับ Spectre โผล่ตามมาอีก

แนะนำโซลูชันด้าน Security สำหรับ Enterprise ของ Kaspersky Lab

ถ้าพูดถึงซอฟต์แวร์แอนตี้ไวรัส หลายๆ คนคงรู้จักชื่อแคสเปอร์สกี้ แลป (Kaspersky Lab) เป็นอย่างดี หรือสำหรับการใช้งานระดับองค์กร โซลูชัน Endpoint Security ของแคสเปอร์สกี้ แลปก็เป็นตัวเลือกอันดับต้นๆ ที่ทั่วโลกต่างให้การยอมรับ อย่างไรก็ตามแคสเปอร์สกี้ …