หน้าแรก Security Data Leak นักวิจัยจากกูเกิ้ลออกมาเผยช่องโหว่ 3 รายการบนเว็บเซิร์ฟเวอร์ Apache

นักวิจัยจากกูเกิ้ลออกมาเผยช่องโหว่ 3 รายการบนเว็บเซิร์ฟเวอร์ Apache

แบ่งปัน


ถ้าเว็บเซิร์ฟเวอร์ของคุณใช้ Apache อยู่ ก็ควรรีบติดตั้งเวอร์ชั่นล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์รุ่นนี้ซะ เพื่อป้องกันไม่ให้แฮ็กเกอร์เข้าควบคุมได้ เนื่องจากทาง Apache เพิ่งแก้ไขช่องโหว่หลายรายการบนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง

ซึ่งช่องโหว่เหล่านี้เปิดช่องให้รันโค้ดอันตราย หรือแม้แต่เปิดให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service) ช่องโหว่ทั้งหมดนี้มี 3 รายการ อยู่ภายใต้รหัส CVE-2020-9490, CVE-2020-11984, และ CVE-2020-11993

ผู้ค้นพบช่องโหว่นี้คือ Felix Wilhelm จาก Google Project Zero โดยแจ้งให้ทาง Apache Foundation ทราบรายละเอียดจนนำไปสู่การแก้ไขในเวอร์ชั่นล่าสุด 2.4.46 นี้ ช่องโหว่แรกเป็นปัญหาที่เปิดโอกาสให้รันโค้ดได้จากระยะไกล

ด้วยการทำ Buffer Overflow บนโมดูล “mod_uwsgi” จนแฮ็กเกอร์เข้ามาเรียกดู แก้ไข หรือลบข้อมูลความลับได้ ส่วนช่องโหว่ที่ 2 มีผลเมื่อเปิดการดีบั๊กบนโมดูล “mod_http2” และช่องโหว่รายการสุดท้ายที่ร้ายแรงที่สุดอยู่ในโมดูล HTTP/2

ที่มา : THN