Breaking News

เตือนช่องโหว่บน Spring Framework เสี่ยงถูกโจมตีแบบ Remote Code Execution

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pivotal เจ้าของ Spring Framework ออกมาแจ้งเตือนถึงช่องโหว่ใหม่ที่เพิ่งค้นพบรวม 3 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับสูงซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดบนแอปพลิเคชันที่ใช้ Framework ดังกล่าวจากระยะไกลได้

Spring Framework เป็น Framework แบบ Open-source ขนาดเล็กยอดนิยมสำหรับพัฒนาแอปพลิเคชันภาษา Java สำหรับใช้งานระดับองค์กร โดยช่องโหว่ที่ค้นพบนี้ส่งผลกระทบบน Spring Framework เวอร์ชัน 5.0 ถึง 5.0.4 และ 4.3 ถึง 4.3.14 รวมทั้งสิ้น 3 รายการ ได้แก่

  • CVE-2018-1270: Remote Code Execution with spring-messaging (ความรุนแรงระดับ Critical)
  • CVE-2018-1271: Directory Traversal with Spring MVC on Windows (ความรุนแรงระดับ High)
  • CVE-2018-1272: Multipart Content Pollution with Spring Framework (ความรุนแรงระดับ Low)

Pivotal ออกแพตช์เพื่ออุดช่องโหว่ทั้ง 3 รายการเป็นที่เรียบร้อย แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 5.0.5 หรือ 4.3.15 โดยเร็ว นอกจากนี้ ยังออก Spring Boot 2.0.1 และ 1.5.11 สำหรับใช้งานคู่กับ Spring Framework เวอร์ชันดังกล่าวอีกด้วย

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ได้ที่: https://spring.io/blog/2018/04/05/multiple-cve-reports-published-for-the-spring-framework

ที่มา: https://thehackernews.com/2018/04/spring-framework-hacking.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้ผลิตอะลูมิเนียมยักษ์ใหญ่ปิดสาขาหลายแห่งทั่วโลก หลังถูก Ransomware โจมตี

Norsk Hydro หนึ่งในผู้ผลิตอะลูมิเนียมรายใหญ่ที่สุดในโลกออกแถลงการณ์ บริษัทจำเป็นต้องปิดการทำงานของโรงงานหลายแห่งในปลายประเทศแถบยุโรปและสหรัฐฯ ได้แก่ นอร์เวย์ การ์ตา และบราซิล หรือเปลี่ยนไปทำงานแบบใช้แรงงานคนแทน หลังถูก Ransomware โจมตีระบบปฏิบัติงานจนไม่สามารถใช้งานได้

cURL อายุครบ 21 ปี มีผู้ติดตั้งใช้งานทั่วโลกไปแล้วกว่า 6,000 ล้านครั้ง

Daniel Stenberg ผู้พัฒนา cURL และ libcurl ได้ออกมาโพสต์ฉลองอายุครบรอบ 21 ปีของ cURL ในบล็อกของตนเอง พร้อมเผยตัวเลขยอดการติดตั้งใช้งาน cURL ที่มีประมาณ 6,000 ล้านครั้งจากทั่วโลก ทั้งบนโทรศัพท์, คอมพิวเตอร์, โทรทัศน์, รถยนต์, เครื่องเล่นวิดีโอเกม และอื่นๆ อีกมากมาย