Dr.Web ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสของรัสเซียเปิดเผยข้อมูลเกี่ยวกับโทรจันตัวใหม่ชื่อว่า Linux.

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

นักวิจัยด้านความปลอดภัย Juha-Matti Tilli ประกาศการค้นพบช่องโหว่ในลินุกซ์เคอร์เนล "SegmentSmack" ส่งผลให้ผู้โจมตีสามารถทำ DoS กับระบบได้จากระยะไกลเพียงส่งแพ็คเกตพิเศษเข้าไปโจมตี กระทบตั้งแต่ลินุกซ์เคอร์เนลรุ่น 4.9 เป็นต้นไป

ช่องโหว่ดังกล่าวเป็นผลลัพธ์มาจากการทำงานของฟังก์ชัน tcp_collapse_ofo_queue() และ tcp_prune_ofo_queue() ในลินุกซ์เคอร์เนลที่ผิดพลาดซึ่งส่งผลให้เมื่อมีการส่งแพ็คเกตในรูปแบบพิเศษที่ถูกสร้างขึ้นมาเพื่อโจมตีช่องโหว่นี้โดยเฉพาะทางการเชื่อมต่อบนโปรโตคอล TCP ที่สร้างไว้แล้ว จะทำให้ระบบหยุดการทำงานในเงื่อนไขของการโจมตีแบบปฏิเสธการทำงาน (DoS) ได้

ช่องโหว่ดังกล่าวสามารถโจมตีได้จากระยะไกล จากทุกพอร์ตที่มีการเปิดใช้งานอยู่ แต่เนื่องจากจำเป็นต้องอาศัยการโจมตีบนโปรโตคอล TCP ทำให้การโจมตีช่องโหว่นี้ไม่สามารถที่จะปลอมแปลงแหล่งที่มาได้
Recommendation ในขณะนี้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ได้มีการทยอยออกแพตช์ที่ช่วยป้องกันการโจมตีมาที่ช่องโหว่ SegmentSmack แล้ว แนะนำให้ผู้ใช้งานทำการตรวจสอบและอัปเดตแพตช์โดยด่วน
Affected Platform Linux kernal ตั้งแต่เวอร์ชัน 4.9 เป็นต้นไป

ที่มา : KB.Cert.

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

แจ้งเตือนช่องโหว่ร้ายแรงบน Samba กระทบ SMB บนลินุกซ์หลายดิสโทร

ลินุกซ์หลายดิสโทร อาทิ Red Hat, Ubuntu, Debian และอื่นๆ ได้มีการปล่อยแพตช์ช่องโหว่ use-after-free ซึ่งมีผลกระทบซอฟต์แวร์ SAMBA ตั้งแต่เวอร์ชัน 4.0 เป็นต้นมา (และมีอีกช่องโหว่ที่กระทบตั้งแต่ 3.6.0) โดยอาจส่งผลให้เกิดการรั่วไหลของข้อมูลที่อยู่ในหน่วยความจำได้

ในการโจมตีผู้โจมตีจะต้องอาศัยเพียงการส่งแพ็คเกตบนโปรโตคอล SMBv1 ไปที่ซอฟต์แวร์ที่มีช่องโหว่ แม้ว่าการปิดการใช้งาน SMBv1 อาจช่วยได้ส่วนหนึ่ง แต่ก็มีผลิตภัณฑ์อีกหลายรายการที่ซัพพอร์ตเพียงแค่ SMBv1

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบและดาวโหลดแพตช์ได้จากลิงค์ต่อไปนี้
http://www.

Cisco ได้รายงานถึงข้อผิดพลาดเกี่ยวกับ Advanced Linux Sound Architecture (ALSA) เมื่อวันศุกร์ที่ 13 ตุลาคมที่ผ่านมา ก่อนที่จะมีการเปิดเผย CVE ออกมาอย่างเป็นทางการ

ช่องโหว่นี้ได้รับการระบุเป็น CVE-2017-15265 แต่ให้คงสถานะเป็น reserved เอาไว้ก่อนในวันที่ประกาศ โดยเป็นช่องโหว่ที่เกิดจากความผิดพลาดของ Use-After-Free หรือความพยายามในการเข้าถึง memory ที่ถูกปล่อย(Free) หลังจากถูกใช้งานเรียบร้อยแล้วใน ALSA ของแอพพลิเคชัน ผู้โจมตีสามารถทำการโจมตีผ่านช่องโหว่นี้จากการเรียกใช้แอพพลิเคชั่นที่สร้างขึ้นมาในระบบของเป้าหมาย หากการโจมตีสำเร็จสามารถทำให้ผู้โจมตีได้รับสิทธิ์ที่สูงขึ้นในระบบของเป้าหมายได้

แม้ว่าช่องโหว่นี้อาจจะส่งผลเฉพาะกับเครื่องที่โดนโจมตีเท่านั้น แต่การที่ผู้โจมตีสามารถทำการเพิ่มสิทธิ์ตนเองให้สูงขึ้นได้นั้น ก็ส่งผลให้ช่องโหว่นี้ถูกจัดอยู่ในระดับ High ทั้งนี้จากรายงานได้ระบุว่าได้มีการแก้ไขช่องโหว่นี้โดยการปรับฟังก์ชั่นการทำงานให้รัดกุมขึ้น และได้อัพโหลดขึ้นไปบน ALSA git tree เรียบร้อยแล้ว

ที่มา : TheRegister

สรุปการตรวจสอบด้านความปลอดภัยของ ntpd, NTPSec และ Chrony จาก Core Infrastructure Initiative

Core Infrastructure Initiative (CII) เป็นโครงการภายใต้ Linux Foundation ซึ่งมีหน้าที่ในการหาทุนและช่วยสนับสนุนโครงการซอฟต์แวร์แบบโอเพนซอร์สหลายโครงการที่มีความสำคัญสูง อาทิ OpenSSL, OpenSSH รวมไปถึง ntpd และ NTPsec ล่าสุด CII ร่วมกับ Mozilla ได้ร่วมกันสนับสนุนทุนเพื่อตรวจสอบซอร์สโค้ดของโครงการซอฟต์แวร์ 3 โครงการที่อิมพลีเมนต์การทำงานของโปรโตคอล NTP ได้แก่ ntpd, NTPSec และ Chrony โดยการตรวจสอบทั้งหมดนั้นถูกดำเนินการโดยบริษัทด้านความปลอดภัย Cure53

สำหรับความปลอดภัยของโปรแกรม ntpd นั้น Cure53 ได้ทำการตรวจสอบ ntpd ในรุ่น 4.2.8p10 ซึ่งมีการเผยแพร่ในเดือนมีนาคม 2017 ด้วยลักษณะของโครงการ ntpd ซึ่งเป็นโครงการซอฟต์แวร์แรกที่อิมพลีเมนตร์การทำงานของโปรโตคอล NTP และมีประวัติการพัฒนายาวนานมากว่า 25 ปี การตรวจสอบด้านความปลอดภัยจึงมีการตรวจพบช่องโหว่กว่า 12 รายการ ( 1 Critical, 2 High, 1 Medium และ 8 Low)

ในขณะเดียวกันโครงการ NTPSec ที่มีการแยกพัฒนาต่อจาก ntpd เพื่อลดความซับซ้อนและแก้ไขปัญหาด้านความปลอดภัยถูกตรวจพบว่ามีช่องโหว่ 7 ช่องโหว่ (3 High, 1 Medium และ 3 Low ) เมื่อเปรียบเทียบกับความก้าวหน้าของโครงการ NTPsec ซึ่งในเวลานี้ยังไม่มีการปล่อยเวอร์ชันเต็ม (1.0) ออกมา NTPSec ยังต้องมีการพัฒนาอีกพอสมควรเพื่อให้สามารถปล่อยซอฟต์แวร์ในรุ่นที่มีความสมบูรณ์มากที่สุดออกมาได้

สำหรับโครงการ Chrony ซึ่งเป็นโครงการที่ไม่ได้มีการพัฒนาต่อมาจาก ntpd เดิมนั้น มีเพียง 2 ช่องโหว่ที่ถูกตรวจพบ โดยทั้งสองช่องโหว่นั้นมีความรุนแรงอยู่ในระดับต่ำ (Low) รายงานจาก Cure53 ยังระบุเพิ่มเติมว่า Chrony เป็นซอฟต์แวร์ที่แข็งแกร่งมากและยังแสดงให้เห็นว่านักพัฒนามีการคำนึงถึงเรื่องความปลอดภัยอยู่ตลอด ซึ่งโดยสรุปแล้ว Chrony เป็นซอฟต์แวร์ที่สมควรได้รับความน่าเชื่อถือในการใช้งาน

ข้อมูลการตรวจสอบพร้อมทั้งรายงานของ Cure53 ฉบับเต็มนั้นสามารถตรวจสอบได้จากแหล่งที่มา

ที่มา : Coreinfrastructure

ค้นพบบั๊กร้ายแรงบน sudo ใน Linux ที่เปิดให้ผู้ที่มี Shell Account สามารถเข้ามายกระดับสิทธิ์ของตนเองเป็น Root ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหาในการ Parse เนื้อหาในคำสั่ง sudo ที่ผิดพลาด ทำให้ผู้โจมตีในระบบ Linux ที่มีการตั้งค่าไว้ในบางรูปแบบสามารถใช้ปัญหานี้ในการ Overwrite ไฟล์ใดๆ บนระบบ, Bypass การจำกัดสิทธิ์ต่างๆ ไปจนถึงการยกระดับสิทธิ์ตัวเองเป็น Root ได้

โดยปัญหานี้เกิดขึ้นกับ Linux จำนวนมาก และส่งผลกระทบไปถึง Linux ที่ใช้ SELinux ด้วย ซึ่งรายการของ Linux ที่ได้รับผลกระทบมีดังนี้

Red Hat Enterprise Linux 6 (sudo)
Red Hat Enterprise Linux 7 (sudo)
Red Hat Enterprise Linux Server (v. 5 ELS) (sudo)
Debian wheezy
Debian jessie
Debian stretch
Debian sid
Ubuntu 17.04
Ubuntu 16.10
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS
SUSE Linux Enterprise Software Development Kit 12-SP2
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2
SUSE Linux Enterprise Server 12-SP2
SUSE Linux Enterprise Desktop 12-SP2
OpenSuse

สำหรับคำแนะนำเพื่อแก้ปัญหานี้คือการอัปเดต Patch ดังนี้

Debian/Ubuntu ใช้ sudo apt update และ sudo apt upgrade
CentOS/RHEL ใช้ sudo yum update
Fedora ใช้ sudo dnf update
SUSE ใช้ sudo zypper update
Arch Linux ใช้ sudo pacman -Syu
Alpine ใช้ apk update && apk upgrade

ที่มา : TECHTALKTHAI , cyberciti

เมื่อวันที่ 21 กุมภาพันธ์ที่ผ่านมา เว็บไซต์ Linux Mint หนึ่งใน Linux Distro ยอดนิยมได้ออกมาประกาศว่าเว็บไซต์ linuxmint.

นักวิจัยด้านความปลอดภัยจาก Google และ Red Hat ได้ตรวจพบบั๊ก Stack Buffer Overflow ใน GNU C Library (glibc) ที่ใช้ใน DNS Resolver บน Linux ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ในส่วนนี้เพื่อเข้าควบคุมระบบ Linux ของผู้ใช้งานได้
การโจมตีนี้เริ่มต้นจากการที่ผู้โจมตีสร้าง Domain หนึ่งขึ้นมา และพยายามให้ผู้ใช้งาน Linux ทำการ Resolve Domain นั้นๆ ให้ได้ จากนั้นผู้โจมตีก็จะทำการตอบ DNS ผ่าน DNS Server ที่มีการตั้งค่าให้ส่งข้อความเพื่อโจมตีช่องโหว่นี้บน Linux โดยเฉพาะ ซึ่งการโจมตีนี้ส่งผลกระทบกับทั้ง Linux ที่เป็น Server และ Desktop แนะนำให้ผู้ใช้ Linux อัพเดต Patch glibc โดยด่วน

ที่มา : thehackernews