Apache Releases Security Advisory for Apache Struts versions 2.3.36 and prior

Apache มีการปล่อยแก้ไขช่องโหว่ในไลบารีของ commons-fileupload (CVE-2016-1000031) ที่ถูกใช้ใน Apache Struts เวอร์ชัน 2.3.36 และเวอร์ชั่นก่อนหน้า ส่งผลให้สามารถโจมตีผ่านช่องโหว่นี้เพื่อควบคุมระบบได้ แต่ Struts เวอร์ชันตั้งแต่ 2.5.12 เป็นต้นไปจะไม่ได้รับผลกระทบ

แนะนำให้ผู้ช้งาน Apache Struts เวอร์ชัน 2.3.36 และก่อนหน้า ทำการอัพเดตแพทช์ความปลอดภัย และอัปเกรดเป็นไลบรารี Commons FileUpload เวอร์ชันปัจจุบันคือ 1.3.3

ที่มา: us-cert

Apache Releases Security Updates for Tomcat Native

Apache ออกแพทช์ด้านความปลอดภัยสำหรับ Apache Tomcat ARP/Native แก้ไขปัญหาช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกลเพื่อควบคุบเครื่องเซิร์ฟเวอร์ที่มีช่องโหว่
Mishandled OCSP invalid response (CVE-2018-8019) เป็นช่องโหว่การตอบกลับ Online Certificate Status Protocol (OCSP) ที่ไม่ได้รับการจัดการอย่างถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ใบรับรอง Certificates ที่ถูกเพิกถอนไปแล้วเพื่อ authenticate เมื่อมีการใช้งานร่วมกับ TLS มีกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.16 และ 1.1.23 ถึง 1.1.34
OCSP check omitted (CVE-2017-15698) ช่องโหว่การ parsing AIA-Extension ของ client certificate ที่ไม่มีการจัดการฟิลด์ที่มีความยาวมากกว่า 127 ไบต์ได้ดีพอ ส่งผลให้เกิดข้อผิดพลาด และสามารถข้ามขั้นตอนการตรวจสอบของ OCSP ไปได้ มีผลกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.14 และ 1.1.23 ถึง 1.1.34
ที่มา : us-cert

Apache Struts DoS vulnerability S2-049

Apache Struts 2 มีรายงานช่องโหว่ออกมา ซึ่งเกี่ยวข้องกับการใช้งานฟังก์ชันของ Spring AOP ที่ช่วยในการทำงานของ Struts ให้มีความปลอดภัยมากขึ้นนั้น สามารถใช้ช่องโหว่นี้ในการโจมตีด้วย Dos ได้ แม้ว่าผู้ใช้งานจะไม่ได้ถูกตรวจสอบสิทธิ์อย่างถูกต้องก็ตาม การอัพเดท Apache Struts เป็นเวอร์ชัน 2.5.12 หรือ 2.3.33 จะช่วยในการปิดช่องโหว่ดังกล่าวนี้

ที่มา : struts.

Apache HTTP Server Vulnerability

Apache HTTP Server พบว่ามีช่องโหว่ที่เกิดขึ้นจากปัญหาของหน่วยความจำ ซึ่งผู้โจมตี (attacker) สามารถใช้ช่องโหว่นี้ในการขโมยข้อมูลสำคัญ หรืออาจทำให้เกิด Dos Attack ได้ ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบ คือเวอร์ชั่นก่อนหน้า 2.2.34 และ 2.4.27

ที่มา : securityfocus