เตือนช่องโหว่บน Spring Framework เสี่ยงถูกโจมตีแบบ Remote Code Execution

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pivotal เจ้าของ Spring Framework ออกมาแจ้งเตือนถึงช่องโหว่ใหม่ที่เพิ่งค้นพบรวม 3 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูงซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดบนแอปพลิเคชันที่ใช้ Framework ดังกล่าวจากระยะไกลได้

Spring Framework เป็น Framework แบบ Open-source ขนาดเล็กยอดนิยมสำหรับพัฒนาแอปพลิเคชันภาษา Java สำหรับใช้งานระดับองค์กร โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Spring Framework เวอร์ชัน 5.0 ถึง 5.0.4 และ 4.3 ถึง 4.3.14 รวมทั้งสิ้น 3 รายการ ได้แก่

  • CVE-2018-1270: Remote Code Execution with spring-messaging (ความรุนแรงระดับ Critical)
  • CVE-2018-1271: Directory Traversal with Spring MVC on Windows (ความรุนแรงระดับ High)
  • CVE-2018-1272: Multipart Content Pollution with Spring Framework (ความรุนแรงระดับ Low)

Pivotal ออกแพตช์เพื่ออุดช่องโหว่ทั้ง 3 รายการเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 5.0.5 หรือ 4.3.15 โดยเร็ว นอกจากนี้ ยังออก Spring Boot 2.0.1 และ 1.5.11 สำหรับใช้งานคู่กับ Spring Framework เวอร์ชันดังกล่าวอีกด้วย

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ได้ที่: https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

ที่มา: https://thehackernews.com/2018/04/spring-framework-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผลศึกษาเผยองค์กรสามารถตรวจพบเหตุการณ์ Breach ได้เองมากขึ้นแต่ยังล่าช้าอยู่

CrowdStrike ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ศึกษาถึง Security Incidents กว่า 200 ครั้งพบว่าองค์กรกว่า 75% สามารถตรวจพบเหตุการณ์ Breach ได้เองซึ่งเพิ่มขึ้นมา 7% เมื่อเทียบกับปี 2017 อย่างไรก็ตามเวลาเฉลี่ยที่ใช้ยังกินเวลากว่า …

Serena Williams เผยกำลังเรียนเขียนโปรแกรม ระบุจะเริ่มต้นเมื่อไหร่ก็ไม่มีคำว่าสายเกินไป

เมื่อต้นเดือนธันวาคมที่ผ่านมา Serena Williams นักเทนนิสหญิงอาชีพชาวอเมริกันได้เผยในงาน Teen Vogue Summit ที่ LA ว่าเธอกำลังเรียนเขียนโปรแกรมอยู่ในขณะนี้