ช่วงปลายเดือนสิงหาคมที่ผ่านมา Atlassian ออกแพตช์แก้ไขช่องโหว่ร้ายแรงระดับวิกฤติใน Confluence Server ระบบจัดการโครงการซอฟต์แวร์ (CVE-2021-26084) แต่หลังจากออกแพตช์มาไม่นาน US-CERT ก็เตือนว่าคนร้ายเริ่มใช้ช่องโหว่โจมตีแล้ว องค์กรที่ใช้งานซอฟต์แวร์จึงควรเร่งอัพเดตทันที
ช่องโหว่นี้เป็นช่องโหว่ OGNL (Object-Graph Navigation Language) injection แฮกเกอร์สามารถยิงสคริปต์เข้าไปรันบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตนใดๆ ทำให้กระทบเซิร์ฟเวอร์ทั้งหมดแม้จะเป็นเซิร์ฟเวอร์ปิดสำหรับใช้งานในองค์กรเท่านั้น
ทาง Atlassian ออกแพตช์สำหรับ Confluence Server 6.13, 7.4, 7.11, 7.12, และ 7.13 มาแล้ว พร้อมสคริปต์ป้องกันชั่วคราวสำหรับเซิร์ฟเวอร์ที่ยังไม่สามารถอัพเกรดได้ โดยตัวช่องโหว่นี้ค้นพบโดย Benny Jacob ผ่านโครงการให้รางวัลรายงานช่องโหว่ของ Atlassian เอง
ภาพหน้าจอ Confluence Server
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP