CISA ເຕືອນໄ​ພຜູ້​ໃຊ້​ Apache Struts 2 ຄວນອັບ​ເດດ​ເ​ເພັດ​ແກ້ໄຂ (Patch)​ ໂດຍດ່ວນ
Posted by Meesaisak on August 24 2020 17:21:31

CISA ເຕືອນໄ​ພຜູ້​ໃຊ້​ Apache Struts 2 ຄວນອັບ​ເດດ​ເ​ເພັດ​ແກ້ໄຂ (Patch)​ ໂດຍດ່ວນ ຫຼັງຈາກ​ມີ​ຄົນປ່ອຍ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົ​ງ​ GitHub 

ໜ່ວຍ​ງານ​ Cybersecurity and Infrastructure Security Agency (CISA) ໄດ້​ອອກ​ຄຳ​ເ​ເນະ​ນຳ ​ແລະ ​ເ​ເຈ້ງ​ເຕືອນ​ ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ​ ຜູ້​ໃຊ້​ Apache Struts 2 ຄວນ​ອັບ​ເດດ​ເ​ເພັດ (Patch) ​​ເພື່ອ​ເ​ເກ້​ໄຂ​ຊ່ອງ​ໂຫວ່ ​ຫຼັງຈາກທີ່​ພົບ​ວ່າ​ ມີຄົນປ່ອຍ​ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົງ GitHub.

ຊ່ອງ​ໂຫວ່​ທີ່​ສຳຄັນ​ ແລະ​ ຄຳ​ເ​ເນະ​ນຳ​ໃຫ້​​ອັບ​ເດດ​​ເ​ເພັດ​ແກ້ໄຂ​ໂດຍດ່ວນ ຄື​: CVE-2019-0230 ແລະ​ CVE-2019-0233 ມີ​ຜົນ​ກະທົບ​ກັບ​ Apache Struts ເວີ​ຊັ່ນ​ 2.0.0 ເຖິງ​ 2.5.20.


Extended News

CISA ເຕືອນໄ​ພຜູ້​ໃຊ້​ Apache Struts 2 ຄວນອັບ​ເດດ​ເ​ເພັດ​ແກ້ໄຂ (Patch)​ ໂດຍດ່ວນ ຫຼັງຈາກ​ມີ​ຄົນປ່ອຍ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົ​ງ​ GitHub 

ໜ່ວຍ​ງານ​ Cybersecurity and Infrastructure Security Agency (CISA) ໄດ້​ອອກ​ຄຳ​ເ​ເນະ​ນຳ ​ແລະ ​ເ​ເຈ້ງ​ເຕືອນ​ ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ​ ຜູ້​ໃຊ້​ Apache Struts 2 ຄວນ​ອັບ​ເດດ​ເ​ເພັດ (Patch) ​​ເພື່ອ​ເ​ເກ້​ໄຂ​ຊ່ອງ​ໂຫວ່ ​ຫຼັງຈາກທີ່​ພົບ​ວ່າ​ ມີຄົນປ່ອຍ​ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົງ GitHub.

ຊ່ອງ​ໂຫວ່​ທີ່​ສຳຄັນ​ ແລະ​ ຄຳ​ເ​ເນະ​ນຳ​ໃຫ້​​ອັບ​ເດດ​​ເ​ເພັດ​ແກ້ໄຂ​ໂດຍດ່ວນ ຄື​: CVE-2019-0230 ແລະ​ CVE-2019-0233 ມີ​ຜົນ​ກະທົບ​ກັບ​ Apache Struts ເວີ​ຊັ່ນ​ 2.0.0 ເຖິງ​ 2.5.20.

ຊ່ອງ​ໂຫວ່​ CVE-2019-0230 ເປັນ​ຊ່ອງ​ໂຫວ່​ ທີ່​ເກີດ​ຈາກ​ການ​​ປະ​ມວນ​ຜົນ​ tag ພາຍໃນ​ attribute ​ຂອງ Object-Graph Navigation Language (OGNL) ເມື່ອ​ Struts ພະຍາຍາມປະ​ມວນ​ຜົນ tag input ພາຍ​ໃນ attribute​s ຊ່ອງ​ໂຫວ່​ຈະ​​ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ທີ່​ສົ່ງ​ OGNL ທີ່​ເປັນ​ອັນຕະລາຍ​ສາມາດເອີ້ນ​ໃຊ້​ໂຄດ​ (Code) ຈາກ​ໄລຍະ​ໄກ​ ຊ່ອງ​ໂຫວ່​ນີ້ ​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Matthias Kaiser ຈາກ​ Apple Information Security.

ຊ່ອງ​ໂຫວ່​ CVE-2019-0233 ເປັນ​ຊ່ອງ​ໂຫວ່​ໃນ​ການ​ເ​ເກ້​ໄຂ​ສິດ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ໄຟ​ລ໌​ ໃນ​ລະຫວ່າງ​ການ​ອັບ​ໂຫຼດ​ໄຟ​ລ໌​ ຊຶ່ງ​ອາດຈະ​ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ແກ້​ໄຂ​ຄຳ​ຂໍ​ລະຫວ່າງ​ການ​ດຳ​ເນີນ​ການ​ອັບ​ໂຫຼດ​ໄຟ​ລ໌​ ການ​ດຳ​ເນີນ​ການ​ໃນ​ລັກສະນະ​ນີ້​ຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ໄຟ​ລ໌ທີ່​ອັບ​ໂຫຼດ​ລົ້ມ​ເຫຼວ​ ເມື່ອພະຍາຍາມ​ເຮັດ​ຫຼາຍ​ໆ​ຄັ້ງ ​ອາດ​ຈະເຮັດໃຫ້​ເກີດ​ການ​ປະຕິເສດ​ເງື່ອນ​ໄຂ​ການ​ໃຫ້​ບໍລິການ​ ຫຼື​ Denial of service (DoS) ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Takeshi Terada ຈາກ​ Mitsui Bussan Secure Directions, Inc.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

CISA ໄດ້​ອອກ​ຄຳ​ເ​ເນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ເ​ເຍງລະບົບ​ ແລະ​ ຜູ້​ໃຊ້​ Apache Struts 2 ຄວນ​​ອັບ​ເດດ​ເ​ເພັດແກ້ໄຂໂດຍດ່ວນ​​ ເປັນ​ Apache Struts ເວີ​​ຊັ່ນ​ 2.5.22 ເພື່ອ​ເ​ເກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ ແລະ ​ປ້ອງ​ກັນ​ຜູ້​ປະສົງ​ຮ້າຍ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ PoC ຂອງ​ຊ່ອງ​ໂຫວ່​ທີ່​ຖືກ​ເປີດ​ພາຍ​ໃນ​ GitHub ເພື່ອໂຈມ​ຕີ​ລະບົບ​.

 

ເອກະສານອ້າງອີງ:

  1. https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2
  2. https://threatpost.com/poc-exploit-github-apache-struts/158393/
  3. https://www.tenable.com/blog/cve-2019-0230-apache-struts-potential-remote-code-execution-vulnerability
  4. https://www.facebook.com/isecure.mssp/posts/3574864465857612