By: lew 
on 23 April 2018 - 16:23
Tags:
Topics:
Drupal ออกแพตช์ความปลอดภัยระดับวิกฤติมาตั้งแต่เดือนที่แล้ว โดยเป็นครั้งที่สองในรอบสี่ปีที่ออกแพตช์โดยเตือนล่วงหน้า ตอนนี้ Netlab 360 ก็ออกมาเตือนว่าเริ่มมีเวิร์มที่อาศัยช่องโหว่นี้อาละวาดแล้ว
จากการสแกนของ Netlab 360 พบว่ามีกลุ่มแฮกเกอร์ 3 กลุ่มใหญ่อาศัยช่องโหว่นี้และโจมตีเซิร์ฟเวอร์ Drupal ที่ยังไม่ได้แพตช์ แต่มีกลุ่มหนึ่งที่ตั้งชื่อว่า Muhstik (เนื่องจากในไฟล์มีคำนี้อยู่) ทำงานเป็นเวิร์มที่แพร่ตัวเองได้
Muhstik กระจายตัวเองไปเรื่องๆ ขณะเดียวกันก็ทำกำไรให้เจ้าของด้วยการขุดเหมืองเงินคริปโตด้วย xmrig (Monero) และ cgminer หรือบางทีก็รับยิง DDoS
By: lew on 7 April 2018 - 01:45
Tags:
Topics:
แพตช์ของ Spring Framework 4.3.14 และ 5.0.4 ออกมาตั้งแต่วันอังคารที่ผ่านมา แต่วันนี้ทาง Pivotal ก็ประกาศเพิ่มเติมว่าแพตช์ชุดนี้แก้ช่องโหว่ 3 รายการ โดยมีรายการหนึ่งเป็นช่องโหว่ระดับวิกฤติ เปิดทางให้แฮกเกอร์ส่งโค้ดเข้ามารันได้
ช่องโหว่ CVE-2018-1270 เปิดทางให้แฮกเกอร์ยิงข้อความที่สร้างเฉพาะเข้ามาในโมดูล spring-messaging หากมีกระบวนการยืนยันตัวตน เช่น Spring Security ก็จะจำกัดผู้โจมตีลงไปได้
อีกช่องโหว่ เป็นช่องโหว่ระดับสูง CVE-2018-1271 เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ได้เกินกว่าที่กำหนดไว้
โครงการที่ใช้ Spring Framework ควรเร่งอัพเดตโดยเร็ว
By: mk on 5 April 2018 - 15:07
Tags:
Topics:
อินเทลประกาศปรับแผนการออกแพตช์ (microcode) อุดช่องโหว่ Spectre (Variant 2) ให้กับซีพียูรุ่นเก่า โดยล้มเลิกแผนการออกแพตช์ให้ซีพียูเก่าๆ บางรุ่นด้วยเหตุผลที่แตกต่างกันไป เช่น เป็นรุ่นที่มีคนใช้น้อย หรือ มีฟีเจอร์บางอย่างช่วยลดผลกระทบจากช่องโหว่อยู่แล้ว
ซีพียูรุ่นที่ถูกยกเลิกแพตช์เป็นซีพียูรุ่นที่ค่อนข้างเก่า (มาก) มีรายชื่อดังนี้ (เรียงตามโค้ดเนม)
By: nismod 
on 31 March 2018 - 14:32
Tags:
Topics:
ขออภัยหากหัวข้อชวนงง โดยสรุปเรื่องคือไมโครซอฟท์ปล่อยแพตช์อัพเดตล่าสุด เพื่อแก้ไขช่องโหว่ใน Patch Tuesday ที่ปล่อยออกมาล่าสุดเพื่ออุดช่องโหว่ที่เกิดจากแพตช์แก้ Meltdown เมื่อต้นปี
อย่างยาวคือไมโครซอฟท์ปล่อยอัพเดตแพตช์แก้ Meltdown ให้ Windows 7 และ Windows Server 2008 R2 เมื่อเดือนมกราคมและกุมภาพันธ์ ซึ่งกลายเป็นว่าแพตช์นี้ทำให้แอปและผู้ใช้งานทั่วไป (ไม่ใช่แอดมิน) เข้าถึงเคอร์เนลด้วยสิทธิระดับแอดมินและแก้ไขข้อมูลในแรมได้อย่างอิสระ ซึ่งแพตช์รอบเดือนมีนาคมที่เพิ่งถูกปล่อยออกมา ไมโครซอฟท์ระบุว่าได้แก้บั๊กตรงนี้ด้วย
By: lew on 29 March 2018 - 03:11
Tags:
Topics:
Drupal ออกอัพเดต 7.58 และ 8.5.1 ตามที่ประกาศไว้เมื่อสัปดาห์ที่แล้ว โดยระบุว่าเป็นช่องโหว่ "วิกฤติอย่างสูง" (highly critical) แฮกเกอร์สามารถยึดเว็บได้อย่างสมบูรณ์
By: lew on 22 March 2018 - 15:14
Tags:
Topics:
Drupal เตรียมออกแพตช์ระดับ "วิกฤติร้ายแรง" วันที่ 29 มีนาคมนี้ เวลาตีหนึ่งถึงตีสองครึ่ง กระทบเวอร์ชั่น 7.x, 8.3.x, 8.4.x, และ 8.5.x ความร้ายแรงของช่องโหว่นี้สูงกว่าปกติ เพราะคาดว่าแฮกเกอร์จะสามารถสร้างเครื่องมือเจาะระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือไม่กี่วันหลังจากปล่อยแพตช์
ทีม Drupal Security แนะนำให้ผู้ใช้ Drupal เตรียมเวลาเพื่อแพตช์ระบบในช่วงเวลาดังกล่าว
ทางด้าน Drupal 8.3.x และ 8.4.x นั้นหมดอายุการซัพพอร์ตไปแล้ว แต่จะออกแพตช์สำหรับช่องโหว่นี้เป็นพิเศษ
ที่มา - Drupal Security
By: nismod on 17 March 2018 - 16:11
Tags:
Topics:
ไมโครซอฟท์ได้ปล่อยแพตช์ประจำเดือนมีนาคมตามรอบ Patch Tuesday ตรงกับวันพุธที่ผ่านมาในบ้านเรา โดยแก้บั๊กทั้งหมด 75 จุด เป็นระดับวิกฤติ 15 จุด ระดับสำคัญ 61 จุด พร้อมแก้บั๊ก Microsoft Edge และเอนจินเบราว์เซอร์ที่เกี่ยวข้องอาทิ Chakra ซึ่งเป็นระดับวิกฤติ 14 จุด (จาก 15 จุด) และระดับสำคัญ 7 จุด
บั๊ก Edge ระดับวิกฤติหลายๆ ตัว อาทิ CVE-2018-0930 เปิดโอกาสให้แฮกเกอร์โจมตีผู้ใช้ผ่านหน้าเว็บที่ถูกเปิดด้วย Edge ซึ่งสามารถสั่งรันโค้ดและหากสำเร็จก็อาจเข้าถึงสิทธิเดียวกับผู้ใช้ที่กำลังใช้งานอยู่ ส่วนแพตช์อื่นๆ ได้แก่ ช่องโหว่รันโค้ดทางไกลผ่านโปรโตคอล CredSSP, ช่องโหว่ Windows Shell และช่องโหว่ XSS บน Office เป็นต้น
By: lew on 16 March 2018 - 00:39
Tags:
Topics:
อินเทลรายงานความคืบหน้าการแก้ปัญหา Spectre/Meltdown ว่าตอนนี้ได้ออก microcode สำหรับซีพียูทุกรุ่นที่ออกใหม่ในช่วง 5 ปีที่ผ่านมาทั้งหมดแล้ว และขอให้ทุกคนพยายามอัพเดตระบบสม่ำเสมอ แต่ที่สำคัญคือซีพียูรุ่นต่อไปที่จะออกใหม่ในปลายปีนี้ จะแก้ไขการโจมตี Spectre variant 2 ในตัวชิปมาแต่แรก
ชิปที่ถูกแก้ปัญหาก่อน ได้แก่ Xeon Scalable (Cascade Lake) และ Core Gen 8 ที่กำลังจะออกใหม่ครึ่งหลังของปีนี้
ที่มา - Intel
By: lew on 15 March 2018 - 02:35
Tags:
Topics:
ผู้ดูแลระบบจำนวนมากพบว่าแพตช์ KB4088875 เมื่อติดตั้งบน Windows Server 2008 R2 ที่ติดตั้ง VMWare แพตช์ความปลอดภัยที่ปกติไม่ควรเปลี่ยนพฤติกรรมเครื่องใดๆ กลับเปลี่ยนจาก static IP กลายเป็น DHCP ไปโดยไม่ถามผู้ดูแลระบบ ส่งผลให้เซิร์ฟเวอร์ที่มักเป็นไอพีแบบ static ไม่สามารถเชื่อมต่อเน็ตเวิร์คได้อีก
ผู้ใช้รายหนึ่งรายงานใน Reddit ว่าเขาดูแลเซิร์ฟเวอร์ประมาณ 50 เครื่อง และเมื่อติดตั้งแพตช์นี้แล้วเน็ตเวิร์คก็ดับทั้งหมด
By: lew on 8 March 2018 - 00:51
Tags:
Meh Chang นักวิจัยจากบริษัท DEVCORE ในไต้หวันรายงานช่องโหว่ใน mail transfer agent (MTA) ที่ชื่อว่า Exim ที่ได้รับความนิยมเป็นอย่างสูงในลินุกซ์ สามารถควบคุมหน่วยความจำบางส่วนของ Exim และอาจเปิดทางให้แฮกเกอร์รันโค้ดบนเซิร์ฟเวอร์ได้
การโจมตีอาศัยช่องโหว่ buffer overflow ในฟังก์ชั่น base64d โดยอาศัยการส่งคำสั่ง ELHO และ AUTH พร้อมกับข้อมูลที่ออกแบบมาเฉพาะ อย่างไรก็ดีทีมงานพัฒนาระบุว่าการโจมตีจริงน่าจะทำได้ยาก
By: lew on 6 March 2018 - 00:56
Tags:
Topics:
แม้ว่าเครือข่ายกระจายตัว (distributed network) อย่าง Bitcoin หรือ Ethereum จะยากต่อการปลอมแปลง แต่ในทางทฤษฎี หากเรามีเครื่องที่แจกจ่ายข้อมูลปลอมๆ มากพอ ก็อาจจะหลอกให้ผู้ใช้สักคนเชื่อมต่อกับโหนดปลอมทั้งหมดจนเข้าใจสถานะเครือข่ายผิด ทำให้ถูกหลอกทำสัญญาบน smart contract หรือสั่งโอนเงินไปโดยเข้าใจผิด ไปจนถึงเข้าใจว่าได้รับเงินแล้วจึงให้สินค้าหรือบริการไป
ทีมวิจัยจากมหาวิทยาลัยบอสตันพบว่า geth ไคลเอนต์ของ Ethereum ที่ได้รับความนิยมสูง มีช่องโหว่ทำให้คนร้ายสามารถสร้างเครือข่ายปลอมด้วยเซิร์ฟเวอร์เพียงสองตัว และจะสามารถปลอมเครือข่ายได้เมื่อ geth รีสตาร์ตใหม่ เรียกว่าการโจมตี Eclipse (บังเครือข่ายจริงออกจากไคลเอนต์)
By: lew on 1 March 2018 - 13:39
Tags:
Topics:
อินเทลปล่อยแพตช์ป้องกันการโจมตี Spectre แบบที่ 2 (variant 2) ให้สำหรับซีพียู Broadwell Xeon E3, Broadwell U/Y, Haswell H,S และ Haswell Xeon E3 ให้กับผู้ผลิตแล้ว
อินเทลออกแพตช์ชุดแรกให้กับ Skylake และ Karby Lake แต่ก็ต้องถอนแพตช์กลับและออกแพตช์เวอร์ชั่นใหม่ หลังจากแพตช์ตัวแรกทำให้เครื่องไม่เสถียร
แพตช์สำหรับซีพียูจำนวนมากยังอยู่ในระดับเบต้ารอการทดสอบ เช่น Broadwell Server EX, Haswell Server EX, Ivy Bridge, Sandy Bridge เป็นต้น
ที่มา - ThreatPost
By: lew on 22 February 2018 - 14:13
Tags:
Topics:
Drupal ประกาศแพตช์ความปลอดภัยอันตรายสูงทั้งเวอร์ชั่น 7 และ 8 แต่เป็นคนละช่องโหว่ที่ไม่เกี่ยวข้องกัน
ช่องโหว่ของ Drupal 8 เป็นช่องโหว่การเข้าดูเนื้อหาที่ไม่มีสิทธิ์และสามารถคอมเมนต์ในเนื้อหานั้นๆ ได้ โดยผู้ใช้ที่ได้สิทธิ์คอมเมนต์ ขณะที่ Drupal 7 เป็นช่องโหว่ของฟังก์ชั่น Drupal.checkPlain() ที่ทำงานไม่สมบูรณ์ ทำให้แฮกเกอร์สามารถทำ cross-site scripting ได้
สามารถสั่งอัพเดตได้แล้วตอนนี้
ที่มา - Drupal
By: lew on 30 January 2018 - 11:03
Tags:
Topics:
Lenovo ออกอัพเดตโปรแกรม Fingerprint Manager Pro ที่แถมไปกับคอมพิวเตอร์ในตระกูล ThinkPad ตระกูลตั้งแต่ สี่ปีก่อน เช่น T440, X240 ไปจนถึงรุ่นก่อนหน้านี้ เช่น T560 และ X260 และกระทบ Windows 7, 8, และ 8.1
ซอฟต์แวร์ Fingerprint Manager Pro เก็บรหัสผ่านเว็บและล็อกอินเว็บอัตโนมัติเมื่อผู้ใช้แตะนิ้วมือ ช่องโหว่นี้ทำให้ local admin ที่เข้าถึงไฟล์ข้อมูลได้สามารถอ่านข้อมูลกลับออกมาได้ทั้งหมดเพราะไฟล์เข้ารหัสไว้อ่อนแอและมีรหัสผ่านแบบฮาร์ดโค้ดเอาไว้
ทาง Lenovo ออกอัพเดตมาแล้วใครใช้งานซอฟต์แวร์ตัวนี้อยู่ก็ควรรีบอัพเดตครับ
ที่มา - Lenovo
By: lew on 29 January 2018 - 13:47
Tags:
Topics:
ไมโครซอฟท์ออกแพตช์นอกรอบ KB4078130 สำหรับถอนแพตช์แก้การโจมตี Spectre ด้วยการอัพเดต microcode ในซีพียู โดยเป็นการอัพเดตหลังผู้ใช้จำนวนหนึ่งรายงานว่าอัพเดตนี้ทำให้เครื่องรีบูตเอง
เมื่อสัปดาห์ที่แล้วอินเทลเพิ่งออกแพตช์ใหม่อีกครั้งเพื่อแก้ปัญหาเครื่องรีบูตนี้
ไมโครซอฟท์เปิดทางให้ผู้ดูแลระบบเลือกเปิดแพตช์นี้เองได้ด้วยการตั้งค่าใน registry โดยระบุว่าควรเปิดกลับมาหลังอินเทลยืนยันว่าแก้ปัญหาแล้ว อย่างไรก็ดี ตอนนี้ยังไม่มีรายงานการโจมตีด้วยเทคนิคนี้แต่อย่างใด
By: lew on 18 January 2018 - 01:28
Tags:
Topics:
ออราเคิลปล่อยแพตช์ความปลอดภัยรอบไตรมาสแรกของปี 2018 รวม 237 รายการ โดยช่องโหว่ร้ายแรงที่สุดเป็นของ Sun ZFS Storage Appliance Kit (AK) ที่มีช่องโหว่ CVSS 10.0 หนึ่งรายการ ส่วนซอฟต์แวร์ที่เกี่ยวข้องกับคนวงกว้าง เช่น MySQL Server มีช่องโหว่ร้ายแรงสุด CVSS 7.5 (ตัว monitor ร้ายแรงกว่าแต่คนทั่วไปคงไม่ได้ใช้) หรือ Java SE ที่มีช่องโหว่ CVSS 8.3 เท่ากัน 3 รายการ กระทบตั้งแต่ Java 6 มาถึง 9
สำหรับการโจมตี Meltdown/Spectre ออราเคิลแจ้งลูกค้าในหน้าพอร์ทัลที่ต้องล็อกอินระบุว่าบริษัทเชื่อว่า SPARCv9 ได้รับผลกระทบจาก Spectre ด้วย แต่แพตช์จะออกต่อเมื่อทดสอบเสร็จแล้ว ระหว่างนี้แนะนำให้จำกัดผู้ใช้ที่มีสิทธิ์ระดับสูงและตรวจสอบล็อกสม่ำเสมอ ส่วนผลกระทบในแง่ประสิทธิภาพจะมีการตรวจสอบอีกครั้ง
By: lew on 13 January 2018 - 00:57
Tags:
Topics:
อินเทลออกเฟิร์มแวร์ซีพียูเพื่อแก้ไขการโจมตี Meltdown/Spectre แต่ตอนนี้ปรากฎว่ามีลูกค้าจำนวนหนึ่งติดตั้งเฟิร์มแวร์แล้วเครื่องรีบูต
อินเทลไม่ได้ให้รายละเอียดว่าอาการเครื่องรีบูตนี้เป็นอาการ bootloop หรือบูตผิดปกติอย่างไร แต่บอกเพียงปัญหานี้กระทบซีพียู Broadwell และ Haswell และหากมีการออกเฟิร์มแวร์ใหม่จะแจ้งต่อไป
อินเทลสัญญาว่าภายในวันจันทร์นี้จะออกเฟิร์มแวร์ให้ครอบคลุมซีพียูอย่างน้อย 90% ของซีพียูที่ "เปิดตัว" ในช่วงห้าปีที่ผ่านมา และจะออกเฟิร์มแวร์ให้กับอีก 10% ภายในสิ้นเดือนนี้
ที่มา - Intel
- Read more about อินเทลแจ้งเตือน เฟิร์มแวร์ใหม่อัพเดตแล้วเครื่องรีบูต
- 1 comment
- Log in or register to post comments
By: lew on 11 January 2018 - 22:46
Tags:
Topics:
Melvin Mughal วิศวกรชาวเนเธอร์แลนด์รัน Geekbench 4.2.1 บน iPhone 6 เพื่อทดสอบประสิทธิภาพเครื่องหลังจากติดตั้ง iOS 11.2.2 ที่แก้ไขการโจมตี Spectre พบว่าประสิทธิภาพโดยรวมตกลงถึงเฉลี่ย 40% บทความของเขาถูกแชร์เป็นวงกว้างจนเว็บล่มหลายครั้ง แต่ตอนนี้ผู้ใช้คนอื่นๆ ไม่สามารถทดสอบจนได้ผลแบบเดียวกัน
รายงานของ Mughal แสดงให้เห็นว่าประสิทธิภาพบางหมวดหมู่ได้รับผลกระทบไม่มากนัก เช่น หน่วยความจำได้รับผลกระทบ 8% แต่ประสิทธิภาพการคำนวณด้านอื่นๆ กระทบ 40-50% เป็นส่วนใหญ่ คะแนนรวมแบบ multi-core จาก 2665 คะแนนลดลงเหลือเพียง 1616 คะแนน หรือลดลง 39%
By: lew on 3 January 2018 - 12:22
Tags:
ช่วงเดือนธันวาคมที่ผ่านมานักพัฒนาเคอร์เนลลินุกซ์กำลังเร่งพัฒนาแพตช์ชุดใหญ่ kernel page-table isolation (KPTI) ที่แก้ปัญหาช่องโหว่ของซีพียูอินเทล ที่เปิดให้แฮกเกอร์ที่รันโค้ดในระดับ user สามารถรู้ตำแหน่งของฟังก์ชั่นต่างๆ ในเคอร์เนลได้ จากเดิมที่ควรปกป้องไว้ด้วยระบบสุ่มตำแหน่งหน่วยความจำเคอร์เนล (KASLR)
แพตช์ KPTI แยก page global directory (PGD) ตารางแสดงตำแหน่งหน่วยความจำชั้นบนสุดที่เคยใช้งานร่วมกันระหว่างเคอร์เนลและโปรเซสอื่นๆ ในระดับ user เพื่อป้องกันโปรเซสระดับ user ไม่ให้รับรู้ว่าเคอร์เนลที่ map ไว้ที่ตำแหน่งใด กระบวนการนี้ปกติตัวซีพียูจะจัดการให้อยู่แล้ว แต่ด้วยบั๊กของซีพียูที่ยังไม่เปิดเผย ทำให้กระบวนการไม่สมบูรณ์
By: lew on 8 December 2017 - 11:32
Tags:
Topics:
ไมโครซอฟต์ออกแพตช์แก้ช่องโหว่ CVE-2017-11940 กระทบซอฟต์แวร์รักษาความปลอดภัยหลายตัว นับแต่ Windows Defender ที่ใช้ในวินโดวส์ส่วนใหญ่ ไปจนถึง Exchange Server
แฮกเกอร์ที่รู้ช่องโหว่นี้สามารถสร้างไฟล์เฉพาะ แล้วส่งเข้ามายังเครื่องของเหยื่อด้วยวิธีการต่างๆ เมื่อไฟล์ถูกสแกนโดยซอฟต์แวร์ที่มีช่องโหว่จะกลายเป็นการรันโค้ดที่แฮกเกอร์วางไว้ ทำให้แฮกเกอร์สามารถเข้ายึดเครื่องได้
อัพเดตปล่อยออกมาแล้วและไม่ต้องสั่งติดตั้งอัพเดตเป็นพิเศษแต่อย่างใด เพราะ Microsoft Protection Engine (MPE) จะอัพเดตตัวเองอยู่เรื่อยๆ อยู่แล้ว ทุกเครื่องควรได้รับอัพเดตภายใน 48 ชั่วโมง หากต้องการยืนยันสามารถตรวจสอบเวอร์ชั่นของ MPE ให้เป็น 1.1.14405.2 หรือสูงกว่า
By: lew on 22 November 2017 - 15:11
Tags:
Topics:
อินเทลออกประกาศแจ้งเตือนช่องโหว่ของ Intel ME มาเมื่อวานนี้ ตอนนี้ผู้ผลิตเครื่องก็ต้องออกแพตช์ตามประกาศนี้ออกมาเป็นรอบๆ
เดลล์เปิดรายชื่อเครื่องที่ได้รับผลกระทบจากบั๊กนี้ กระทบเครื่องแทบทุกตระกูล ตั้งแต่ Vostro, Latitude, Precison, Optiplex ตอนนี้ยังไม่มีแพตช์แต่ให้รอประกาศจากบริษัทอีกครั้งว่ารุ่นไหนจะได้แพตช์เมื่อใด
By: lew on 22 November 2017 - 10:56
Tags:
Topics:
หลังจากนักวิจัยรายงานถึงการเข้าถึงหน่วยความจำของ Intel ME ที่เป็นระบบปฎิบัติการ MINIX ได้สำเร็จเมื่อต้นเดือนที่ผ่านมา เมื่อวานนี้อินเทลก็ออกประกาศเตือนว่ามีรายงานการนำโค้ดเข้าไปรันบน Intel ME ได้สำเร็จแล้ว และผู้ใช้ควรเร่งอัพเดตเฟิร์มแวร์ซีพียู
หากแฮกเกอร์เจาะ Intel ME ได้สำเร็จจะสามารถเข้าถึงความสามารถระดับต่ำสุดของเครื่อง โค้ดที่รันอยู่จะมองไม่เห็นโดยระบบปฎิบัติการที่ผู้ใช้ติดตั้ง หรือแม้จะนำโค้ดเข้าไปรันไม่สำเร็จก็สามารถทำให้เครื่องแครชได้
ช่องโหว่นี้กระทบ Intel ME และซอฟต์แวร์จัดการอื่น เช่น Server Platform Service (SPS) และ Trusted Execution Engin (TXE) ซีพียูกระทบตั้งแต่ Xeon รุ่นใหม่ๆ ไปจนถึง Atom และ Celeron
By: lew on 17 November 2017 - 13:16
Tags:
Topics:
ปัญหาความปลอดภัยที่เกิดจากไลบรารีต้นน้ำเป็นปัญหาใหญ่ในวงการโอเพนซอร์สโดยเฉพาะโครงการเล็กๆ ที่มีคนดูแลไม่มากนัก เช่นเมื่อต้นปีที่ผ่านมา Apache Struts 2 ที่มีใช้งานในโครงการจำนวนมากมีช่องโหว่ ก็กระทบโครงการอื่นๆ เป็นลูกโซ่จำนวนมาก ตอนนี้ทาง GitHub ก็ออกมาเปิดฟีเจอร์แจ้งเตือนช่องโหว่ของไลบรารีให้ทุกโครงการฟรี
สำหรับโครงการที่เปิดต่อสาธารณะจะเปิดใช้งานได้ทันที ขณะที่ลูกค้าแบบจ่ายเงินจะต้องเปิดสิทธิ์ให้ GitHub เข้าถึง dependency graph ได้ จากนั้นผู้ดูแลโครงการจะได้รับอีเมลแจ้งเตือนเสมอ หากต้องการให้ผู้ใช้อื่นได้รับอีเมลด้วยก็แจ้งได้
ที่มา - GitHub
By: lew on 15 November 2017 - 19:44
Tags:
Topics:
ไมโครซอฟท์ออกแพตช์ความปลอดภัยรอบเดือนพฤศจิกายน โดยรอบนี้มีรายการช่องโหว่ทั้งสิ้น 53 รายการเป็นช่องโหว่ระดับวิกฤติ 20 รายการ แต่ยังไม่พบว่ามีการใช้ช่องโหว่ใดโจมตีจริงแล้ว
รายละเอีดยของช่องโหว่ 4 รายการมีการรายงานออกมาต่อสาธารณะแล้วแต่ก็ไม่มีการใช้โจมตีแต่อย่างใด อย่างไรก็ดีช่องโหว่จำนวนหนึ่งเป็นช่องโหว่รันโค้ดบน Edge, IE11, และ ChakraCore ก็อาจจะพิจารณาเร่งอัพเดตก่อนอันอื่นๆ หากไม่ต้องการอัพเดตทั้งหมด ขณะที่ช่องโหว่ CVE-2017-11882 สำหรับ MS Office 2007-2016 แม้จะอยู่ในระดับสำคัญ (ไม่ถึงวิกฤติ) แต่ก็มีตัวอย่างโค้ดออกมาแล้ว ดังนั้นจึงควรเร่งอัพเดตเช่นกัน
By: lew on 1 November 2017 - 15:26
Tags:
Topics:
ออราเคิลออกแพตช์แก้ไขช่องโหว่บัญชีของ Oracle Identity Manager (OIM) ที่มีรหัสผ่านเป็นช่องว่างช่องเดียว เปิดทางให้แฮกเกอร์สามารถล็อกอินเข้าระบบได้ กระทบ OIM เวอร์ชั่น 11.1 เป็นต้นมา
ผู้ใช้ OIMINTERNAL เป็นผู้ใช้ที่สร้างขึ้นเป็นมาตรฐานตามเอกสารคู่มือของ OIM เอง และรหัสผ่านที่เป็นช่องว่างเพียงช่องเดียวควรทำให้ผู้ใช้นี้ล็อกอินไม่ได้ แต่จากการแพตช์รอบนี้ก็แสดงว่ามีบางช่องทางที่สามารถล็อกอินได้
ช่องโหว่ CVE-2017-10151 นี้ได้คะแนน CVSSv3 อยู่ที่ 10.0 ผู้ใช้ทุกคนควรแพตช์ทันที
