Breaking News

เตือนช่องโหว่บน Spring Framework เสี่ยงถูกโจมตีแบบ Remote Code Execution

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pivotal เจ้าของ Spring Framework ออกมาแจ้งเตือนถึงช่องโหว่ใหม่ที่เพิ่งค้นพบรวม 3 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูงซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดบนแอปพลิเคชันที่ใช้ Framework ดังกล่าวจากระยะไกลได้

Spring Framework เป็น Framework แบบ Open-source ขนาดเล็กยอดนิยมสำหรับพัฒนาแอปพลิเคชันภาษา Java สำหรับใช้งานระดับองค์กร โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Spring Framework เวอร์ชัน 5.0 ถึง 5.0.4 และ 4.3 ถึง 4.3.14 รวมทั้งสิ้น 3 รายการ ได้แก่

  • CVE-2018-1270: Remote Code Execution with spring-messaging (ความรุนแรงระดับ Critical)
  • CVE-2018-1271: Directory Traversal with Spring MVC on Windows (ความรุนแรงระดับ High)
  • CVE-2018-1272: Multipart Content Pollution with Spring Framework (ความรุนแรงระดับ Low)

Pivotal ออกแพตช์เพื่ออุดช่องโหว่ทั้ง 3 รายการเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 5.0.5 หรือ 4.3.15 โดยเร็ว นอกจากนี้ ยังออก Spring Boot 2.0.1 และ 1.5.11 สำหรับใช้งานคู่กับ Spring Framework เวอร์ชันดังกล่าวอีกด้วย

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ได้ที่: https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

ที่มา: https://thehackernews.com/2018/04/spring-framework-hacking.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่