พบช่องโหว่ร้ายแรงใน VMware Spring แนะผู้ใช้งานเร่งอัปเดต

VMware มีการอัปเดตแพตช์ช่องโหว่ให้โปรเจ็คโอเพ่นซอร์สของตน 2 รายการ ทั้งนี้นอกจากจะเป็นช่องโหว่ที่ร้ายแรงและมีการเปิดเผยโค้ดสาธิตมาแล้ว ยังมีความสับสนในเรื่องชื่อเรียกอีกด้วย

Credit: Pavel Ignatov/ShutterStock

VMware Spring เป็นโปรเจ็คโอเพ่นซอร์สที่เป็นเครื่องมือช่วยสร้างแอปพลิเคชัน Java และแอปแบบคลาวด์โดยผู้ใช้ไม่ต้องไม่ต้องมาจัดการส่วนเซิร์ฟเวอร์เอง อย่างไรก็ดีโปรเจ็ค Spring มีขนาดใหญ่มาก จึงมีองค์ประกอบภายในหลายส่วน สำหรับการอัปเดตช่องโหว่ใหม่เมื่อวานจาก VMware มีดังนี้

1.) CVE-2022-22963 เกิดขึ้นกับส่วน Spring Cloud Function ซึ่งเป็นเพียงโมดูลทางเลือกสำหรับการเขียนโค้ดเท่านั้น ทั้งนี้ HTTP Header ที่ถูกส่งเข้ามายัง Spring Cloud ดันสามารถถูกใช้เพื่อลอบรันโค้ดได้จากแฮ็กเกอร์ (Remote Code Execution) ความน่ากังวลคือมีการปล่อยโค้ดสาธิตออกมาแล้ว แต่เคราะห์ดีเพียงแค่ผู้ใช้อัปเดตโมดูลเป็นเวอร์ชัน 3.1.7 หรือ 3.2.3 ก็สามารถป้องกันตนเองได้แล้ว

2.) CVE-2022-22965 ประเด็นของช่องโหว่นี้ที่ทำให้เกิดความสับสนคือมีการตั้งชื่อเรียกว่า ‘Spring4shell’ ซึ่งไปคล้ายกับ Log4Shell ที่เป็นช่องโหว่ชื่อดังเมื่อปีก่อนและกระทบกับผลิตภัณฑ์อย่างมาก แต่อันที่จริงแล้วทั้งสองไม่ได้เกี่ยวข้องกันอย่างใด อีกประเด็นที่ยังถกเถียงกันอยู่คือ CVE-2022-22965 เป็นช่องโหว่ที่ร้ายแรงแต่ก็ใช้ไม่ง่ายเพราะต้องมีเงื่อนไขหลายอย่าง เช่น มีการใช้ Web Application Archive (WAR) แทนที่จะเป็น Java Archive (JAR) เป็นต้น

โดย CVE-2022-22965 เกิดขึ้นใน Spring Framework ที่นำไปสู่การลอบรันโค้ด ซึ่งท่านสามารถอัปเดตเป็นเวอร์ชัน 5.2.20 และ 5.3.18 และเนื่องจาก Spring Boot มีการใช้ Spring Framework เข้ามาทำให้ท่านที่ใช้ Spring Boot ต้องแพตช์เป็น 2.5.12 หรือ 2.6.6 ด้วยเพื่อแก้ไขช่องโหว่ Sping4shell นี้

ติดตามข้อมูลจาก VMware ได้ที่ https://tanzu.vmware.com/security/cve-2022-22965

ที่มา : https://nakedsecurity.sophos.com/2022/03/31/two-different-vmware-spring-bugs-at-large-we-cut-through-the-confusion/ และ https://redmondmag.com/articles/2022/03/31/vmware-confirms-zero-day-vulnerability.aspx

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้