วันนี้ Apache httpd ออกอัพเดตรุ่น 2.4.39 แก้ไขช่องโหว่ความปลอดภัย โดยมีช่องโหว่ระดับ "สำคัญ" 3 รายการ ช่องโหว่ที่สำคัญที่สุดคือ CVE-2019-0211 ที่เปิดให้ผู้ใช้ที่รันสคริปต์ภายใต้เว็บเซิร์ฟเวอร์ Apache สามารถยึดเครื่องได้หากตัว httpd รันในสิทธิ์ root
ช่องโหว่นี้ได้รับรายงานจาก Charles Fol นักวิจัยจาก Ambionics Security ตั้งแต่ 22 กุมภาพันธ์ที่ผ่านมา
ช่องโหว่ระดับสำคัญอีกสองรายการ เป็นการตรวจสอบผู้ใช้ ด้วย mod_auth_digest
และ mod_ssl
ที่บางกรณีผู้ใช้อาจข้ามการจำกัดสิทธิ์ไปได้ นอกจากนี้ยังมีช่องโหว่ระดับต่ำอีกสองรายการ
ผมตรวจสอบการปล่อยแพตช์ความปลอดภัยของลินุกซ์สายหลัก เช่น Debian , Ubuntu , และ Red Hat ล้วนยังไม่มีอัพเดตออกมา อย่างไรก็ดี แม้ทาง Apache จะปล่อยแพตช์แต่ตอนนี้ก็ยังไม่มีรายงานการโจมตีหรือรายละเอียดช่องโหว่แต่อย่างใด
ที่มา - The Hacker News , Apache
ภาพโดย geralt
Comments
redhat/centos ไม่กระทบนะครับ https://access.redhat.com/security/cve/cve-2019-0211
*** กรณีใช้ directadmin มันไม่ได้ใช้ httpd ของ os อาจต้องเช็คดูเองนะครับ
Ubuntu อย่าใช้ Official เลย อัพเดตช้าโคตรๆ ณ วันที่เขียนคอมเมนต์ยังไม่ได้เลยย้ายไปใช้ ppa พวก ondrej/apache2 เถอะ หรืออย่างอื่น
พวกนี้อย่าดูที่เลข version ครับ ต้องเอาเลข cve ไปค้นกับในระบบของ ubuntu/debian ว่าแก้ไปยัง ซึ่งปกติพวกนี้แก้เร็วมากๆครับ ถ้าเปิด security update อัตโนมัติ หรือกด update อยู่สม่ำเสมอนี่รับรองว่าปลอดภัยแน่นอนครับ
ที่อันตรายที่สุดคือลงเองครับ เพราะถ้าดูแล server เยอะๆ บอกเลยไม่มีไล่ติดตั้งเองได้เร็วเท่า update จาก distro official แน่นอน
ป.ล. หรือว่าลืม enable ตัว repo security update หรือเปล่าครับ
ถ้าวันที่ 8 ยังไม่ได้นี่
น่าจะใช้ repo ผิดอะไรสักอย่างแล้วนะครับ ตัวประกาศออกมาหลังเขียนข่าวไม่ถึงวัน package ก็ออกมาพร้อมๆ กัน (ก่อนประกาศหน่อยนึง)
lewcpe.com , @wasonliw
Patch จาก Debian/Ubuntu ออกมาพร้อมๆกับข่าวนะครับ ถ้าตั้ง auto security update ไว้ปลอดภัยหายห่วงครับ
วันที่เขียนข่าวหน้า security info ของ debian ไม่ขึ้น แต่วันนี้ขึ้นแล้ว (ลงวันที่ 3 เมษาวันที่เขียนข่าว) เข้าใจว่าอัพเดตตามมาหลังจากประกาศไม่กี่ชั่วโมงนะ
lewcpe.com , @wasonliw
จริงด้วยครับ ฝั่ง debian ปล่อย package ลง repo เมื่อเวลา 02:42 หลังเขียนข่าวชั่วโมงกว่าครับ