เตือนช่องโหว่บน Spring Framework เสี่ยงถูกโจมตีแบบ Remote Code Execution

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pivotal เจ้าของ Spring Framework ออกมาแจ้งเตือนถึงช่องโหว่ใหม่ที่เพิ่งค้นพบรวม 3 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูงซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดบนแอปพลิเคชันที่ใช้ Framework ดังกล่าวจากระยะไกลได้

Spring Framework เป็น Framework แบบ Open-source ขนาดเล็กยอดนิยมสำหรับพัฒนาแอปพลิเคชันภาษา Java สำหรับใช้งานระดับองค์กร โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Spring Framework เวอร์ชัน 5.0 ถึง 5.0.4 และ 4.3 ถึง 4.3.14 รวมทั้งสิ้น 3 รายการ ได้แก่

  • CVE-2018-1270: Remote Code Execution with spring-messaging (ความรุนแรงระดับ Critical)
  • CVE-2018-1271: Directory Traversal with Spring MVC on Windows (ความรุนแรงระดับ High)
  • CVE-2018-1272: Multipart Content Pollution with Spring Framework (ความรุนแรงระดับ Low)

Pivotal ออกแพตช์เพื่ออุดช่องโหว่ทั้ง 3 รายการเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 5.0.5 หรือ 4.3.15 โดยเร็ว นอกจากนี้ ยังออก Spring Boot 2.0.1 และ 1.5.11 สำหรับใช้งานคู่กับ Spring Framework เวอร์ชันดังกล่าวอีกด้วย

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ได้ที่: https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

ที่มา: https://thehackernews.com/2018/04/spring-framework-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย

นักวิจัยพบช่องโหว่ Zero-day ใหม่ของ Windows 10 บน Task Scheduler

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้