Tags:
Node Thumbnail

วันนี้ Apache httpd ออกอัพเดตรุ่น 2.4.39 แก้ไขช่องโหว่ความปลอดภัย โดยมีช่องโหว่ระดับ "สำคัญ" 3 รายการ ช่องโหว่ที่สำคัญที่สุดคือ CVE-2019-0211 ที่เปิดให้ผู้ใช้ที่รันสคริปต์ภายใต้เว็บเซิร์ฟเวอร์ Apache สามารถยึดเครื่องได้หากตัว httpd รันในสิทธิ์ root

ช่องโหว่นี้ได้รับรายงานจาก Charles Fol นักวิจัยจาก Ambionics Security ตั้งแต่ 22 กุมภาพันธ์ที่ผ่านมา

ช่องโหว่ระดับสำคัญอีกสองรายการ เป็นการตรวจสอบผู้ใช้ ด้วย mod_auth_digest และ mod_ssl ที่บางกรณีผู้ใช้อาจข้ามการจำกัดสิทธิ์ไปได้ นอกจากนี้ยังมีช่องโหว่ระดับต่ำอีกสองรายการ

ผมตรวจสอบการปล่อยแพตช์ความปลอดภัยของลินุกซ์สายหลัก เช่น Debian, Ubuntu, และ Red Hat ล้วนยังไม่มีอัพเดตออกมา อย่างไรก็ดี แม้ทาง Apache จะปล่อยแพตช์แต่ตอนนี้ก็ยังไม่มีรายงานการโจมตีหรือรายละเอียดช่องโหว่แต่อย่างใด

ที่มา - The Hacker News, Apache

No Description

ภาพโดย geralt

Get latest news from Blognone

Comments

By: icez
ContributoriPhoneAndroidRed Hat
on 3 April 2019 - 16:40 #1104304

redhat/centos ไม่กระทบนะครับ https://access.redhat.com/security/cve/cve-2019-0211

*** กรณีใช้ directadmin มันไม่ได้ใช้ httpd ของ os อาจต้องเช็คดูเองนะครับ

By: iDan
ContributorAndroidSUSEUbuntu
on 8 April 2019 - 09:23 #1105009

Ubuntu อย่าใช้ Official เลย อัพเดตช้าโคตรๆ ณ วันที่เขียนคอมเมนต์ยังไม่ได้เลย
ย้ายไปใช้ ppa พวก ondrej/apache2 เถอะ หรืออย่างอื่น

By: lancaster
ContributorUbuntuWindows
on 8 April 2019 - 14:13 #1105031 Reply to:1105009

พวกนี้อย่าดูที่เลข version ครับ ต้องเอาเลข cve ไปค้นกับในระบบของ ubuntu/debian ว่าแก้ไปยัง ซึ่งปกติพวกนี้แก้เร็วมากๆครับ ถ้าเปิด security update อัตโนมัติ หรือกด update อยู่สม่ำเสมอนี่รับรองว่าปลอดภัยแน่นอนครับ

ที่อันตรายที่สุดคือลงเองครับ เพราะถ้าดูแล server เยอะๆ บอกเลยไม่มีไล่ติดตั้งเองได้เร็วเท่า update จาก distro official แน่นอน

ป.ล. หรือว่าลืม enable ตัว repo security update หรือเปล่าครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 April 2019 - 14:24 #1105036 Reply to:1105009
lew's picture

ถ้าวันที่ 8 ยังไม่ได้นี่

น่าจะใช้ repo ผิดอะไรสักอย่างแล้วนะครับ ตัวประกาศออกมาหลังเขียนข่าวไม่ถึงวัน package ก็ออกมาพร้อมๆ กัน (ก่อนประกาศหน่อยนึง)


lewcpe.com, @public_lewcpe

By: lancaster
ContributorUbuntuWindows
on 8 April 2019 - 14:14 #1105033

Patch จาก Debian/Ubuntu ออกมาพร้อมๆกับข่าวนะครับ ถ้าตั้ง auto security update ไว้ปลอดภัยหายห่วงครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 April 2019 - 14:18 #1105035 Reply to:1105033
lew's picture

วันที่เขียนข่าวหน้า security info ของ debian ไม่ขึ้น แต่วันนี้ขึ้นแล้ว (ลงวันที่ 3 เมษาวันที่เขียนข่าว) เข้าใจว่าอัพเดตตามมาหลังจากประกาศไม่กี่ชั่วโมงนะ


lewcpe.com, @public_lewcpe

By: lancaster
ContributorUbuntuWindows
on 8 April 2019 - 14:26 #1105037 Reply to:1105035

จริงด้วยครับ ฝั่ง debian ปล่อย package ลง repo เมื่อเวลา 02:42 หลังเขียนข่าวชั่วโมงกว่าครับ

apache2-bin_2.4.25-3+deb9u7_amd64.deb 03-Apr-2019 02:42