Apache Software Foundation (ASF) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Tomcat Server ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ภายใต้เงื่อนไขบางอย่าง

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-56337 ถูกระบุว่าเป็นการแก้ไขปัญหาที่ไม่สมบูรณ์ของช่องโหว่ CVE-2024-50379 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกช่องโหว่หนึ่งในผลิตภัณฑ์เดียวกัน และเคยได้รับการแก้ไขไปแล้วเมื่อวันที่ 17 ธันวาคม 2024

นักพัฒนาได้ระบุในคำแนะนำเมื่อสัปดาห์ที่แล้วว่า "ผู้ใช้ที่ใช้งาน Tomcat บนระบบไฟล์ที่ไม่คำนึงถึงตัวพิมพ์เล็ก-ใหญ่ (case insensitive) และเปิดใช้งานการเขียน default servlet (ตั้งค่าพารามิเตอร์ readonly เริ่มต้นเป็นค่า false ซึ่งไม่ใช่ค่าเริ่มต้น) อาจจำเป็นต้องตั้งค่าเพิ่มเติม เพื่อแก้ไขช่องโหว่ CVE-2024-50379 ให้สมบูรณ์ แต่ก็ขึ้นอยู่กับเวอร์ชั่นของ Java ที่ใช้งานร่วมกับ Tomcat ด้วย"

ช่องโหว่ทั้งสองรายการเป็นช่องโหว่แบบ Time-of-check Time-of-use (TOCTOU) ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดบนระบบไฟล์ที่ไม่แยกความแตกต่างระหว่างตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ เมื่อมีการเปิดใช้งาน default servlet สำหรับการเขียน

Apache ระบุไว้ในการแจ้งเตือนสำหรับ CVE-2024-50379 "การอ่าน และการอัปโหลดพร้อมกันภายใต้โหลดของไฟล์เดียวกัน สามารถหลีกเลี่ยงการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ Tomcat และทำให้ไฟล์ที่อัปโหลดถูกมองว่าเป็น JSP ซึ่งจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

CVE-2024-56337 ส่งผลกระทบต่อ Apache Tomcat ตามเวอร์ชันต่อไปนี้

Apache Tomcat 11.0.0-M1 ถึง 11.0.1 (แก้ไขแล้วในเวอร์ชั่น 11.0.2 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 10.1.0-M1 ถึง 10.1.33 (แก้ไขแล้วในเวอร์ชั่น 10.1.34 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 9.0.0.M1 ถึง 9.0.97 (แก้ไขแล้วในเวอร์ชั่น 9.0.98 หรือเวอร์ชันใหม่กว่า)

นอกจากนี้ ผู้ใช้งานจำเป็นต้องดำเนินการเปลี่ยนแปลงการตั้งค่าต่อไปนี้ ขึ้นอยู่กับเวอร์ชันของ Java ที่กำลังใช้งาน

Java 8 หรือ Java 11: กำหนดค่า system property sun.

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-44308 กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง โดยกระทบกับ Apple Safari หลายเวอร์ชันบนแพลตฟอร์ม iOS, visionOS และ macOS

ช่องโหว่ดังกล่าวอยู่ภายในคอมไพเลอร์ DFG JIT ของ WebKit ทำให้เกิดการโจมตีในรูปแบบการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) (more…)

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Palo Alto Networks แจ้งเตือนการพบช่องโหว่ Zero-Day ความรุนแรงระดับ Critical บน Next-Generation Firewalls (NGFW) management interfaces มีหมายเลขติดตามช่องโหว่ "PAN-SA-2024-0015" โดยพบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง (more…)

เมื่อวันศุกร์ที่ผ่านมา (8 พฤศจิกายน 2024) Palo Alto Networks ได้ออกคำแนะนำเชิงข้อมูล เพื่อให้ลูกค้าตรวจสอบให้แน่ใจว่ามีการกำหนดการเข้าถึง Management interface ของ PAN-OS อย่างปลอดภัย เนื่องจากอาจมีช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับช่องโหว่ระดับ Critical 2 รายการที่ทำให้สามารถ bypass การยืนยันตัวตน และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ในผลิตภัณฑ์สวิตช์ Optigo Networks ONS-S8 Aggregation ซึ่งมักถูกใช้ในโครงสร้างพื้นฐานที่สำคัญ (more…)

CISA ได้เพิ่มช่องโหว่ห้ารายการใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก ซึ่งหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ส่งผลกระทบต่อ Apache HugeGraph-Server

ช่องโหว่หมายเลข CVE-2024-27348 (คะแนน CVSS: 9.8) ความรุนแรงระดับ critical เป็นช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสม ซึ่งส่งผลกระทบต่อ HugeGraph-Server เวอร์ชันตั้งแต่ 1.0.0 ขึ้นไป (แต่ไม่รวมถึง 1.3.0)

Apache แก้ไขช่องโหว่นี้เมื่อวันที่ 22 เมษายน 2024 โดยการปล่อยเวอร์ชัน 1.3.0 นอกจากการอัปเกรดเป็นเวอร์ชันล่าสุดแล้ว ผู้ใช้ยังได้รับคำแนะนำให้ใช้ Java 11 และเปิดใช้งานระบบการตรวจสอบสิทธิ์ (Auth system)

นอกจากนี้ ยังมีการเสนอให้เปิดใช้งานฟังก์ชัน "Whitelist-IP/port" เพื่อเพิ่มความปลอดภัยในการดำเนินการ RESTful-API ซึ่งเกี่ยวข้องกับการโจมตีอื่น ๆ ที่อาจเกิดขึ้น

ขณะนี้ CISA ได้แจ้งเตือนว่ามีการใช้ช่องโหว่ CVE-2024-27348 อย่างต่อเนื่องในโลกออนไลน์ โดยกำหนดให้หน่วยงานรัฐบาลกลาง และองค์กร infrastructure ต่าง ๆ มีเวลาจนถึงวันที่ 9 ตุลาคม 2024 เพื่อดำเนินการป้องกัน หรือเลิกใช้ผลิตภัณฑ์ดังกล่าว

Apache HugeGraph-Server เป็นส่วนประกอบหลักของโปรเจ็กต์ Apache HugeGraph ซึ่งเป็นฐานข้อมูลกราฟแบบโอเพ่นซอร์สที่ออกแบบมาเพื่อจัดการข้อมูลกราฟขนาดใหญ่ที่มีประสิทธิภาพสูง และความสามารถในการปรับขยายได้, รองรับการดำเนินการที่ซับซ้อนที่จำเป็นในการวิเคราะห์ความสัมพันธ์เชิงลึก, การจัดกลุ่มข้อมูล และ Path searches (more…)

Progress Software ออกแพตซ์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุด (10/10) ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ LoadMaster และ LoadMaster Multi-Tenant (MT) Hypervisor ที่ทำให้ (more…)

Hacker กำลังใช้ช่องโหว่ PHP บน Windows เพื่อโจมตีด้วยมัลแวร์ตัวใหม่

ทีม Threat Hunter ของ Symantec พบกลุ่ม Hacker ที่ยังไม่ถูกระบุชื่อ ใช้ backdoor ตัวใหม่ที่ชื่อ Msupedge บนระบบ Windows ของมหาวิทยาลัยแห่งหนึ่งในไต้หวัน โดยคาดว่าน่าจะใช้ช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลของ PHP ที่เพิ่งได้รับการแก้ไขเมื่อไม่นานนี้ (CVE-2024-4577)

(more…)