พบช่องโหว่ร้ายแรงใน VMware Spring แนะผู้ใช้งานเร่งอัปเดต

VMware มีการอัปเดตแพตช์ช่องโหว่ให้โปรเจ็คโอเพ่นซอร์สของตน 2 รายการ ทั้งนี้นอกจากจะเป็นช่องโหว่ที่ร้ายแรงและมีการเปิดเผยโค้ดสาธิตมาแล้ว ยังมีความสับสนในเรื่องชื่อเรียกอีกด้วย

Credit: Pavel Ignatov/ShutterStock

VMware Spring เป็นโปรเจ็คโอเพ่นซอร์สที่เป็นเครื่องมือช่วยสร้างแอปพลิเคชัน Java และแอปแบบคลาวด์โดยผู้ใช้ไม่ต้องไม่ต้องมาจัดการส่วนเซิร์ฟเวอร์เอง อย่างไรก็ดีโปรเจ็ค Spring มีขนาดใหญ่มาก จึงมีองค์ประกอบภายในหลายส่วน สำหรับการอัปเดตช่องโหว่ใหม่เมื่อวานจาก VMware มีดังนี้

1.) CVE-2022-22963 เกิดขึ้นกับส่วน Spring Cloud Function ซึ่งเป็นเพียงโมดูลทางเลือกสำหรับการเขียนโค้ดเท่านั้น ทั้งนี้ HTTP Header ที่ถูกส่งเข้ามายัง Spring Cloud ดันสามารถถูกใช้เพื่อลอบรันโค้ดได้จากแฮ็กเกอร์ (Remote Code Execution) ความน่ากังวลคือมีการปล่อยโค้ดสาธิตออกมาแล้ว แต่เคราะห์ดีเพียงแค่ผู้ใช้อัปเดตโมดูลเป็นเวอร์ชัน 3.1.7 หรือ 3.2.3 ก็สามารถป้องกันตนเองได้แล้ว

2.) CVE-2022-22965 ประเด็นของช่องโหว่นี้ที่ทำให้เกิดความสับสนคือมีการตั้งชื่อเรียกว่า ‘Spring4shell’ ซึ่งไปคล้ายกับ Log4Shell ที่เป็นช่องโหว่ชื่อดังเมื่อปีก่อนและกระทบกับผลิตภัณฑ์อย่างมาก แต่อันที่จริงแล้วทั้งสองไม่ได้เกี่ยวข้องกันอย่างใด อีกประเด็นที่ยังถกเถียงกันอยู่คือ CVE-2022-22965 เป็นช่องโหว่ที่ร้ายแรงแต่ก็ใช้ไม่ง่ายเพราะต้องมีเงื่อนไขหลายอย่าง เช่น มีการใช้ Web Application Archive (WAR) แทนที่จะเป็น Java Archive (JAR) เป็นต้น

โดย CVE-2022-22965 เกิดขึ้นใน Spring Framework ที่นำไปสู่การลอบรันโค้ด ซึ่งท่านสามารถอัปเดตเป็นเวอร์ชัน 5.2.20 และ 5.3.18 และเนื่องจาก Spring Boot มีการใช้ Spring Framework เข้ามาทำให้ท่านที่ใช้ Spring Boot ต้องแพตช์เป็น 2.5.12 หรือ 2.6.6 ด้วยเพื่อแก้ไขช่องโหว่ Sping4shell นี้

ติดตามข้อมูลจาก VMware ได้ที่ https://tanzu.vmware.com/security/cve-2022-22965

ที่มา : https://nakedsecurity.sophos.com/2022/03/31/two-different-vmware-spring-bugs-at-large-we-cut-through-the-confusion/ และ https://redmondmag.com/articles/2022/03/31/vmware-confirms-zero-day-vulnerability.aspx


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …