News

อธิบายเจาะลึกเทคนิคยกระดับสิทธิ์ใหม่บนลินุกซ์ “SUDO_INJECT”

เมื่อช่วงสงกรานต์ที่ผ่านมา นักวิจัยด้านความปลอดภัย chaignc จากทีม HexpressoCTF ได้มีเปิดเผยเทคนิคใหม่ในการโจมตี sudo ในระบบปฏิบัติการลินุกซ์เพื่อช่วยยกระดับสิทธิ์ของบัญชีผู้ใช้งานปัจจุบันให้มีสิทธิ์สูงขึ้นภายใต้ชื่อการโจมตีว่า SUDO_INJECT

ในบล็อกนี้ ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมาอธิบายถึงรายละเอียดการทำงานของ sudo ซึ่งทำให้เกิดเป็นช่องโหว่แบบ In-depth Vulnerability Analysis เพื่อความเข้าใจในสาเหตุการเกิดขึ้นของช่องโหว่นี้กันครับ

ทำความเข้าใจ Exploit
จากไฟล์ exploit ซึ่งปรากฎในโครงการของผู้ค้นพบช่องโหว่ เราจะมาทำความเข้าใจ exploit ซึ่งทำให้เราได้สิทธิ์ root ที่อยู่ในไฟล์ exploit.

Oracle Releases April 2019 Security Bulletin

Oracle ออกแพตช์อัปเดตสำคัญเพื่อแก้ไขช่องโหว่ 297 ช่องโหว่ในหลายผลิตภัณฑ์

Oracle ออกแพตช์อัปเดตสำคัญประจำเดือนเมษายน 2019 เพื่อแก้ไขช่องโหว่กว่า 297 ช่องโหว่ในหลายผลิตภัณฑ์ เป็นช่องโหว่ที่ร้ายแรงมาก (critical) กว่า 53 ช่องโหว่ โดย Oracle Fusion Middleware เป็นผลิตภัณฑ์ที่ถูกแก้ไขมากที่สุดในแพตช์ครั้งนี้ด้วยช่องโหว่กว่า 53 ช่องโหว่ ผลิตภัณฑ์ที่ได้รับการแก้ไขมากรองลงมาเป็น Oracle MySQL ได้รับการแก้ไข 45 ช่องโหว่

รายชื่อผลิตภัณฑ์ทั้งหมดที่ถูกแก้ไขในแพตช์อัปเดตนี้ได้แก่
Oracle Database Server
Oracle Berkeley DB
Oracle Commerce
Oracle Communications Applications
Oracle Construction and Engineering Suite
Oracle E-Business Suite
Oracle Enterprise Manager Products Suite
Oracle Financial Services Applications
Oracle Food and Beverage Applications
Oracle Fusion Middleware
Oracle Health Sciences Applications
Oracle Hospitality Applications
Oracle Java SE
Oracle JD Edwards Products
Oracle MySQL
Oracle PeopleSoft Products
Oracle Retail Applications
Oracle Siebel CRM
Oracle Sun Systems Products
Oracle Supply Chain Products
Oracle Support Tools
Oracle Utilities Applications
Oracle Virtualization

ผู้ดูแลระบบควรตรวจสอบรายการแพตช์ดังกล่าวบน oracle และทำการอัปเดตเพื่อลดความเสี่ยงจากการถูกโจมตีโดยช่องโหว่ต่างๆ

ที่มา: us-cert , securityweek

Apache Tomcat Patches Important Remote Code Execution Flaw

Apache Tomcat ออกอัปเดตเพื่อแก้ไขช่องโหว่ที่ทำให้สามารถถูกรันคำสั่งอันตรายจากระยะไกลได้

Apache Software Foundation ออกอัปเดตเพื่อแก้ไขช่องโหว่สำคัญบน Apache Tomcat เป็นการแก้ไขช่องโหว่ CVE-2019-0232 ซึ่งเป็นช่องโหว่ใน CGI Servlet ของ Tomcat ในกรณีที่ Tomcat ทำงานบนระบบปฏิบัติการณ์ Windows ที่มีการตั้งค่า enableCmdLineArguments ผู้โจมตีจะสามารถส่งคำสั่งไปยัง Servlet ซึ่งจะส่งคำสังดังกล่าวต่อไปยังระบบปฏิบัติการณ์ Windows ได้ (OS command injection)

โดย Apache Tomcat ในบางรุ่นจะมีการปิดการตั้งค่า enableCmdLineArguments ไว้เป็นค่าเริ่มต้น ทำให้มีเพียง Apache Tomcat บางรุ่นเท่านั้นที่ได้รับผลกระทบดังกล่าว โดยรุ่นที่ได้รับผลกระทบได้แก่
Apache Tomcat รุ่น 9.0.0.M1 ถึง 9.0.17
Apache Tomcat รุ่น 8.5.0 ถึง 8.5.39
Apache Tomcat รุ่น 7.0.0 ถึง 7.0.93

Apache Software Foundation ได้ออกคำแนะนำสำหรับลดความเสี่ยงจากช่องโหว่ดังกล่าวว่า ใช้อัปเดต Apache Tomcat เป็นรุ่นที่ไม่ได้รับผลกระทบ คือ
อัปเดตเป็น Apache Tomcat รุ่น 9.0.18 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 8.5.40 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 7.0.93 เป็นต้นไป
หรือในกรณีที่ไม่สามารถอัปเดตได้ ให้ตั้งค่า enableCmdLineArguments เป็น false

ที่มา thehackernews , bleepingcomputer

Hackers Compromise Microsoft Support Agent to Access Outlook Email Accounts

แฮกเกอร์สามารถเข้าถึงบัญชีพนักงานของ Microsoft Support ส่งผลให้เข้าถึงบัญชีอีเมล Outlook ของผู้ใช้งานได้

หากมีการใช้บริการอีเมล Microsoft Outlook เป็นไปได้ว่าข้อมูลในบัญชีอาจจะถูกเข้าถึงโดยแฮกเกอร์ที่ยังไม่ทราบกลุ่ม เมื่อต้นปีที่ผ่านมาแฮกเกอร์ได้มีพยายามเปิดเผยข้อมูลที่อยู่ในส่วนของ Microsoft's customer support และข้อมูลบัญชีอีเมลบางรายที่มีการลงทะเบียนกับ Outlook เอาไว้

เมื่อวันที่ 12 เมษายนที่ผ่านมามีผู้ใช้งานได้ทำการเปิดเผยข้อมูลบน Reddit ว่าตนเองได้รับอีเมลแจ้งเตือนจาก Outlook ว่าบัญชีอีเมลที่ใช้งานอยู่ถูกเข้าถึงโดยกลุ่มผู้ไม่หวังดีที่ยังระบุตัวตนไม่ได้ หลังจากนั้นก็มีผู้ใช้งานอื่นๆ มาแสดงความเห็นว่าตนเองก็ได้รับอีเมลแจ้งเตือนในลักษณะเดียวกัน โดยเนื้อหามีการระบุว่า บริษัทตรวจพบว่ามีกลุ่มผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานของพนักงานผู้ให้บริการ ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับบัญชีผู้ใช้งานอีเมลบางราย เช่น อีเมลแอดเดรส, ชื่อโฟลเดอร์, หัวข้ออีเมล และอีเมลแอดเดรสของผู้รับที่เคยมีการติดต่อด้วย แต่ไม่สามารถเข้าถึงเนื้อหาของอีเมล และไฟล์แนบได้

ในขณะนี้ยังไม่แน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีพนักงานของ Microsoft ได้อย่างไร แต่บริษัทยืนยันว่าได้นำข้อมูล credential ที่ถูกขโมยออก และเริ่มแจ้งลูกค้าที่ได้รับผลกระทบทั้งหมด แต่ยังไม่มีการเปิดเผยจำนวนบัญชีผู้ใช้งานทั้งหมดที่ได้รับผลกระทบ

ที่มา: thehackernews

Malvertising campaign abuses Chrome for iOS bug to target iPhone users

ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ใช้ประโยชน์จากช่องโหว่บน Chrome ในมือถือสำหรับ iOS เพื่อเปลี่ยนเส้นทางผู้ใช้ iPhone และ iPad ไปยังเว็บไซต์ที่เป็นอันตราย

ข้อผิดพลาดนี้ช่วยให้โค้ดที่เป็นอันตรายซึ่งถูกซ่อนไว้ในเว็บไซต์โฆษณาสามารถหลบหลีกจากการถูกตรวจจับจาก Sandbox iframe ได้ และเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นหรือแสดงป๊อปอัปที่น่ารำคาญบนเว็บไซต์ที่ถูกกฎหมาย ส่งผลกระทบกับ Chrome สำหรับ iOS เท่านั้น

Sandbox attribute บน iframe tag เป็นความสามารถที่ช่วยเพิ่มเติมด้านความปลอดภัยให้กับผู้ใช้งานเว็บไซต์ โดยเอกสารหรือหน้าเว็บไซต์โฆษณาที่ถูกดึงมาและอยู่ใน iframe จะถูกจำกัดความสามารถบางอย่าง เช่น ไม่สามารถถูกใช้ submit ข้อมูลได้, ไม่สามารถรัน script ได้, ไม่สามารถถูกใช้ในการเรียก API ได้ และความสามารถที่จะทำงานเองอัตโนมัติ จะไม่สามารถทำงานได้ เป็นต้น

ทั้งนี้สาเหตุที่กระทบกับ Chrome สำหรับ iOS เพียงอย่างเดียวนั้น เป็นเพราะว่า Chrome บน iOS ไม่ใช่ Chromium-based browser แต่ทำงานบน WebKit ซึ่งเป็นเครื่องมือแสดงผลเบราว์เซอร์ภายในของ Safari อย่างไรก็ตาม Safari ไม่ได้รับผลกระทบจากข้อผิดพลาดนี้ ซึ่งหมายความว่านี่เป็นปัญหาที่เกิดจากการพัฒนาของ Google เพื่อให้ Chrome บน iOS สามารถทำงานร่วมกับ WebKit ได้เท่านั้น

ที่มา : zdnet

รู้จักแพลตฟอร์มแชร์ข้อมูลภัยคุกคาม Malware Information Sharing Platform (MISP) และการตั้งค่าเบื้องต้น

คำว่า Threat Intelligence หรือ ข้อมูลภัยคุกคาม นั้นมักเป็นคำที่ถูกใช้และพูดถึงกันอย่างแพร่หลายในแวดวงความปลอดภัยไซเบอร์ การครอบครองข้อมูลภัยคุกคามนั้นยิ่งข้อมูลมีคุณภาพมากเท่าไหร่และมาถึงเราเร็วมากเท่าไหร่ ความเป็นต่อในการรักษาความมั่นคงปลอดภัยของระบบยิ่งมีมากขึ้นเท่านั้น

อย่างไรก็ตาม Threat Intelligence หรือ ข้อมูลภัยคุกคามมักถูกมองว่าเป็นโซลูชันหรือผลิตภัณฑ์ที่มีราคาแพง โดยเฉพาะข้อมูลภัยคุกคามเฉพาะภาคส่วนหรือข้อมูลภัยคุกคามที่มีที่มาจาก Dark Web ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จะมานำเสนออีกด้านหนึ่งของการรับและใช้งานข้อมูลภัยคุกคามที่ฟรีและยังการันตีได้ถึงคุณภาพอีกด้วย ผ่านแพลตฟอร์มที่ชื่อว่า Malware Information Sharing Platform หรือ MISP ครับ

MISP คืออะไร?
MISP คือโครงการโอเพนซอร์สที่ทำให้เราสามารถรับ ส่งและเผยแพร่ข้อมูลของภัยคุกคามได้ระหว่างระบบ MISP ด้วยกัน รวมไปถึงมีฟีเจอร์ที่ทำให้เราสามารถส่งข้อมูลภัยคุกคามไปยังระบบหรืออุปกรณ์อื่นๆ ระบบ MISP ยังสามารถถูกใช้เพื่อจัดเก็บ ค้นหาและเชื่อมความสัมพันธ์โดยใช้ตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise - IOC) เพื่อค้นหาความสัมพันธ์ระหว่างเหตุการณ์การโจมตีที่เกิดขึ้นได้ด้วย
ติดตั้ง MISP ได้อย่างไรบ้าง?
MISP สามารถติดตั้งได้จากหลายช่องทาง ได้แก่

ติดตั้ง MISP โดยใช้ Vagrant
ติดตั้ง MISP โดยใช้ Docker 
ติดตั้ง MISP โดยใช้ Puppet
ติดตั้ง MISP โดยใช้ Ansible
ติดตั้ง MISP แบบอัตโนมัติด้วยสคริปต์ AutoMISP
ใช้ Cloud Image (เฉพาะ AWS)
ติดตั้งแบบ manual โดยใช้คู่มือของแต่ละระบบปฏิบัติการ

สำหรับใครที่แค่อยากลองใช้เฉยๆ ไม่อยากติดตั้งอะไรมากมาย ก็สามารถเลือกใช้ MISP ในรูปแบบของ virtual machine ซึ่งซัพพอร์ตทั้ง VMware และ VirtualBox ได้จากที่นี่
เริ่มดึงข้อมูลจากฟีดภัยคุกคามฟรี
ทุกๆ MISP instance ที่ติดตั้งจะมีรายการของฟีดภัยคุกคามฟรีพร้อมใช้งานมาให้ ซึ่งผู้ใช้งานสามารถทำการ Cache ข้อมูลที่มีอยู่แล้วมาอยู่บน instance ของเราและใช้งานต่อได้ทันที โดยดำเนินการตามขั้นตอนดังต่อไปนี้

เลือก Sync Actions ที่ Menu Bar จากนั้นเลือกที่แท็บ List Feeds
ที่หน้าต่าง Feeds - MISP จะมีรายการของฟีดที่เราสามารถดึงข้อมูลมาใช้งานได้อยู่ โดยทั่วไปนั้นจะไม่มีการดึงฟีดใดๆ มาเป็นค่าเริ่มต้น
ผู้ใช้งานสามารถเลือกดึงข้อมูลจากฟีดได้ โดยทำการเลือกแหล่งของฟีดที่ต้องการเปิด หลังจากนั้นจะปรากฎตัวเลือกให้เปิดการดึงฟีดขึ้นมา ทำการเลือก Enable selected และ Enable caching for selected เมื่อเลือกฟีดที่ต้องการใช้งานเสร็จสิ้น
คลิก Fetch and store all feed data ระบบ MISP จะเริ่มทำการดึงข้อมูลจากฟีดที่เราเลือกมาบนระบบ หรือ instance ของเรา

การตั้งค่าเกี่ยวกับ Feeds เพิ่มเติมสามารถดูได้จาก Managing Feeds
สร้างข้อมูลภัยคุกคามเพื่อเผยแพร่
ภายใต้ระบบของ MISP นั้น ตัวบ่งชี้ภัยคุกคามซึ่งโดยส่วนมากเป็นข้อมูลในลักษณะของ machine-readable นั้นจะถูกผูกภายใต้เหตุการณ์ (Event) ซึ่งแตกต่างกับข้อมูลภัยคุกคามแบบไร้รูปแบบที่ตัวบ่งชี้ภัยคุกคามจะถูกเผยแพร่เพียงอย่างเดียว ไม่มีข้อมูลแวดล้อมอื่นๆ ประกอบแต่อย่างใด

ดังนั้นหากเราต้องการเผยแพร่ข้อมูลภัยคุกคามที่เราเจอบ้าง เราสามารถทำได้โดย

ที่ Menu Bar เลือก Add Event
ที่หน้าต่าง Add Event ให้ทำการระบุข้อมูลเกี่ยวกับเหตุการณ์ที่เราพบตามหัวข้อดังต่อไปนี้

วันที่และเวลา (Date)
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถเลือกได้ว่าจะเผยแพร่เฉพาะภายในองค์กร เผยแพร่เฉพาะให้กับกลุ่มที่มีการเชื่อมต่อหรือเผยแพร่แบบไม่มีข้อจำกัด
ระดับของภัยคุกคาม (Threat Level)
สถานะการวิเคราะห์ (Analysis)
รายละเอียดของเหตุการณ์ (Event Info)

เพิ่มข้อมูลตัวบ่งชี้ภัยคุกคามหรือ Attribute ให้แก่ Event นั้นๆ โดยเลือกที่เครื่องหมายบวกบริเวณรายการ Attributes
ที่หน้า Add Attribute ให้ทำการระบุข้อมูลที่เกี่ยวข้องกับตัวบ่งชี้ภัยคุกคามตามหัวข้อดังต่อไปนี้

กลุ่มของ Attribute (Category)
ประเภทของ Attribute (Type) ซึ่งจะขึ้นอยู่กับกลุ่มของ Attribute ที่เลือก
รูปแบบการเผยแพร่ข้อมูล (Distribution) โดยสามารถตั้งค่าให้เหมือนหรือแตกต่างกับการตั้งค่าของเหตุการณ์ได้
ระบข้อมูลตัวบ่งชี้ภัยคุกคามลงในช่อง Value
ระบุรายละเอียดเพิ่มเติมเกี่ยวกับตัวบ่งชี้ภัยคุกคามได้ในช่อง Contextual Comment

หากต้องการให้เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปนั้นสามารถถูกแชร์และเข้าถึงได้ ให้ทำการเผยแพร่เหตุการณ์และข้อมูลที่เราเพิ่มเข้าไปด้วยตัวเลือก Publish event ด้วย
รับ-ส่งข้อมูลระหว่าง MISP Instance
ความสามารถที่โดดเด่นอย่างหนึ่งของ MISP คือการเป็นตัวกลางในการเชื่อมต่อเพื่อรับ-ส่งข้อมูลภัยคุกคามกับ MISP instance อื่นๆ

ในตัวอย่างด้านล่างนั้นองค์กร B (OrgB) ได้มีการสร้าง MISP instance เป็นของตนเองในชื่อ ServerB และต้องการที่จะ synchronize กับ ServerA ซึ่งเป็นขององค์กร A (OrgA) ดังนั้นจะต้องมีการดำเนินการดังต่อไปนี้

ที่ ServerA ให้ผู้ดูแลระบบทำการเพิ่ม Organization ใหม่สำหรับ OrgB ไว้ภายใต้ ServerA
ทำการสร้างบัญชีผู้ใช้งานใหม่เพื่อเป็น Sync User ซึ่งผูกไว้กับ OrgB บน ServerA
ที่ ServerB ทำการเพิ่ม MISP instance ปลายทางที่เราจะเชื่อมต่อด้วย (ในกรณีนี้คือ ServerA) โดยใช้ AuthKey ของ Sync User บน ServerA ในการยืนยันตัวตน

เมื่อดำเนินการตามขั้นตอนด้านบนเสร็จสิ้น ฝั่ง ServerB จะมีการปรากฎของปุ่มเพื่อทดสอบการเชื่อมต่อ หากการตั้งค่าทุกอย่างถูกต้องและเชื่อมต่อถึงกันได้ สถานะของระบบปลายทางจะปรากฎตามตัวอย่างด้านล่าง

ในกรณีที่ ServerA มีการดึงข้อมูลจาก MISP instance อื่นมา หากการตั้งค่า Distribution ของเหตุการณ์หรือข้อมูลภัยคุกคามนั้นไม่จำกัดเฉพาะภายใน Organization ปัจจุบันของเรา ServerB ซึ่งเชื่อมต่อเข้ามาก็จะดึงข้อมูลไปได้เช่นเดียวกัน

ทั้งนี้รูปแบบของการดึงข้อมูลจะเสมือนกับการสร้างสำเนาของข้อมูลที่มีค่า UUID เดียวกัน การแก้ไขใดๆ กับข้อมูลภัยคุกคามซึ่งอยู่ MISP instance เรานั้นจะไม่กระทบกับข้อมูลที่ผู้สร้างกำหนดไว้ตั้งแต่แรก จนกว่าเราจะทำการ Propose การแก้ไขของเราไปยังต้นน้ำ
สรุป
Malware Intelligence Sharing Platform (MISP) เป็นแพลตฟอร์มอย่างง่ายที่ช่วยให้ผู้ใช้งานหรือองค์กรเข้าถึงข้อมูลที่เกี่ยวข้อบกับภัยคุกคามได้แบบไม่เสียค่าใช้จ่าย รวมไปถึงสามารถใช้เป็นส่วนหนึ่งของระบบ Threat Intelligence ภายในองค์กรได้อย่างประสิทธิภาพ อย่างไรก็ตามนอกจากเทคโนโลยีแล้ว องค์กรควรมีการคำนึงถึงกระบวนการที่เกี่ยวข้องกับข้อมูลภัยคุกคามและการนำไปใช้เพื่อให้เกิดประโยชน์สูงสุดต่อไปด้วย

Intel Patches High-Severity Flaws in Media SDK, Mini PC

Intel ทำการแพทช์ช่องโหว่ใน Media SDK และ Intel NUC ใน mini PC

เมื่อวันอังคารที่ผ่านมา Intel ได้ปล่อยแพทช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 4 รายการ โดยมี 2 รายการที่มีความรุนแรงสูง (High) คือ ปัญหาช่องโหว่ใน Media SDK เวอร์ชั่นก่อน 2018 R2.1 ที่ส่งผลให้ผู้ไม่หวังดีที่สามารถผ่านการยืนยันตัวตนมาได้ (Authenticated) สามารถได้รับสิทธิ์ที่สูงขึ้น (CVE-2018-18094) ผู้ใ้ชงานต้องทำการอัพเดตเป็นเวอร์ชั่น 2018 R2.1 สามารดาวน์โหลดได้จากลิงค์ด้านล่าง

ช่องโหว่ความรุนแรงสูง (High) ที่ได้รับการแก้ไขอีกรายการ ถูกพบใน Intel NUC ซึ่งเป็นชุดเครื่องมือที่เกี่ยวข้องกับการทำงาน (Processing), หน่วยความจำ และ Storage ของแอพพลิเคชั่นใน mini PC (CVE-2019-0163) ซึ่งเป็นปัญหาข้อบกพร่องในส่วนของ input validation ใน firmware ของผลิตภัณฑ์ ส่งผลให้ผู้ใช้งานสามารถยกระดับสิทธิ์ให้สูงขึ้น (Privilege Escalation), DoS และการเปิดเผยข้อมูลโดยไม่ตั้งใจ

ดาวน์โหลด: https://software.

Adobe Fixes 24 Critical Flaws in Acrobat Reader, Flash, Shockwave Player

Adobe ปล่อยแพทช์ประจำเดือนเมษายน แก้ไขช่องโหว่ทั้งหมด 43 รายการ ที่รวมถึงช่องโหว่สำคัญ (Critical) 24 รายการในผลิตภัณฑ์ 8 รายการด้วย

ช่องโหว่สำคัญ 24 รายการ เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ (code execution) บนผลิตภัณฑ์หลายรายการ ยกตัวอย่างเช่น Acrobat Reader, Adobe Flash และ Adobe Shockwave Player เป็นต้น สำหรับในรอบนี้ผลิตภัณฑ์ที่มีจำนวนช่องโหว่ที่ได้รับการแก้ไขมากที่สุด คือ Acrobat Reader มีทั้งหมด 21 รายการ และ 11 รายการเป็นช่องโหว่สำคัญ (Critical) ประกอบด้วย Acrobat DC (2019.010.20098 และก่อนหน้า), Acrobat Reader 2017 (2017.011.30127 และก่อนหน้า), Acrobat Reader DC Classic 2015 (2015.006.30482 และก่อนหน้า) ทั้งบน Windows และ macOS

นอกจากนี้ยังแก้ไขช่องโหว่การรันคำสั่งอันตรายใน Adobe Shockwave Player (เวอร์ชั่น 12.3.4.204 และก่อนหน้า) ทั้งหมด 7 รายการ, ใน Adobe Flash 1 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูล (information disclosure) อีก 1 รายการ, ใน Adobe XD 2 รายการ, ใน InDesign 1 รายการ, ใน Adobe Bridge CC 2 รายการ และช่องโหว่เกี่ยวกับการเปิดเผยข้อมูลอีก 6 รายการ และแก้ไขช่องโหว่ความรุนแรงระดับกลาง (Moderate) ใน Adobe Dreamweaver

ผู้ใช้งานที่มีการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุด และติดตามข้อมูลเกี่ยวกับความปลอดภัยของผลิตภัณฑ์อย่างสม่ำเสมอ

ที่มา: threatpost

Samba Releases Security Updates

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัย

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2019-3870 และ CVE-2019-3880 โดยผู้โจมตีสามารถโจมตีช่องโหว่เพื่อยึดครองระบบได้

CVE-2019-3870 เป็นช่องโหว่ที่กระทบ Samba ตั้งแต่รุ่น 4.9 เป็นต้นไป โดยเกิดความผิดพลาดในการกำหนดสิทธิ์ของพาธ /usr/local/samba/private ซึ่งควรมีสิทธิ์เป็น 0700 เพื่อจำกัดให้สิทธิ์ในการแก้ไขเป็นของ root เท่านั้น แต่เกิดความผิดพลาดทำให้มีการกำหนดสิทธิ์เป็น 0666 ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำกว่าสามารถเขียนลงในพาธดังกล่าวได้ ซึ่งการอัปเดตจะไม่แก้ไขสิทธิ์ 0666 ดังกล่าวทำให้นอกจากผู้ดูแลระบบจะต้องอัปเดตแพตช์แล้ว ผู้ดูแลระบบจะต้องแก้ไขสิทธิ์ของพาธ /usr/local/samba/private ให้ถูกต้องอีกด้วย

ช่องโหว่ CVE-2019-3880 กระทบกับ Samba ตั้งแต่รุ่น 3.2.0 เป็นต้นไป โดยผู้ใช้งานที่มีสิทธิ์ในการเขียนไฟล์สามารถเขียนไฟล์นอกเหนือจาก Samba share ได้

ผู้ดูแลระบบความศึกษา https://www.

SAP April 2019 Security Patch Day addresses High severity flaws in Crystal Reports, NetWeaver

SAP ปล่อยแพทช์ประจำเดือนเมษายน เพื่อแก้ไขเพิ่มเติมช่องโหว่เก่าทั้งหมด 6 รายการ และช่องโหว่ความรุนแรงสูง (High) ใน Crystal Report และ NetWeaver อีก 2 รายการ

ช่องโหว่ความรุนแรงสูง (High) ที่ถูกแพทช์รอบนี้ คือ ช่องโหว่ใน Crystal Report เกี่ยวกับการเปิดเผยข้อมูลของ system data, debugging information และข้อมูลอื่นๆ ของระบบโดยไม่ตั้งใจ (Information Disclosure) (CVE-2019-0285) และช่องโหว่ถัดมาเป็นปัญหาใน NetWeaver Java Application Server เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงตนเองให้อยู่ในระบบเพื่อดักข้อมูลที่จะส่งมาเพื่อแสดงผลที่เครื่องผู้ใช้งาน (Spoofing Attack) (CVE-2019-0283)

นอกจากนี้ยังมีอัพเดตเพิ่มเติมเพื่อแก้ไขช่องโหว่เก่าอื่นๆ ได้แก่ ช่องโหว่การพิสูจน์สิทธิ์ผู้ใช้งาน (authorization) ใน SAP Enterprise Financial Service (CVE-2018-2484) ที่ได้รับการแก้ไขเมื่อเดือนมกราคม และช่องโหว่อื่นๆ ใน NetWeaver (CVE-2019-0265, CVE-2019-0282 และ CVE-2019-0278), ช่องโหว่ใน ABAP Platform (CVE-2019-0265, CVE-2019-0279) และช่องโหว่ใน SAP HANA (CVE-2019-0284) ที่ทำให้เกิด DoS และสามารถเข้าถึงไฟล์สำคัญในระบบ เพื่อขโมย code ได้

ที่มา : securityaffairs