คลังเก็บป้ายกำกับ: CRITICAL_PATCH_UPDATE

OpenSSL เตรียมออกอัปเดตอุดช่องโหว่ใหม่ระดับ Critical

ทีมผู้พัฒนา OpenSSL Project ประกาศเตรียมออกอัปเดต OpenSSL เวอร์ชัน 3.0.7 อุดช่องโหว่ใหม่ระดับ Critical ในวันที่ 1 พฤศจิกายนนี้

ทืมผู้พัฒนา OpenSSL ได้ประกาศผ่านทาง Mailing list ถึงแผนในการออกอัปเดตใหม่ เวอร์ชัน 3.0.7 เพื่ออุดช่องโหว่ระดับ Critical ซึ่งเป็นช่องโหว่ระดับความรุนแรงมากที่สุด ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่มากนัก เนื่องจากตามนโยบายของ OpenSSL รายละเอียดของช่องโหว่จะถูกเก็บเป็นความลับ เพื่อเลี่ยงต่อการโจมตีที่อาจเกิดขึ้นในวงกว้าง โดยจะมีการแจ้งเตือนและส่งรายละเอียดช่องโหว่ไปที่ผู้ผลิตรายอื่นที่มีการใช้งาน OpenSSL ในระบบปฏิบัติการหรือซอฟต์แวร์ของตนเอง เพื่อให้ทำการแพตช์และแก้ไขปัญหาดังกล่าวล่วงหน้า ซึ่งตามนิยามของ OpenSSL แล้ว ช่องโหว่ระดับนี้ อาจถูกโจมตีได้ในการตั้งค่าแบบปกติ ทำให้ผู้ไม่หวังดีสามารถเจาะผ่านการ Remote และเข้าถึงข้อมูลที่สำคัญ เช่น Private Key หรือทำ Remote Code Execution ได้ เช่น ช่องโหว่ Heartbleed ที่ผ่านมา

อย่างไรก็ตาม ช่องโหว่ดังกล่าวจะไม่เกิดขึ้นกับ OpenSSL เวอร์ชันก่อนหน้า 3.0 โดย OpenSSL 3.0.7 จะออกอัปเดตในวันที่ 1 พฤศจิกายนนี้

ที่มา: https://www.helpnetsecurity.com/2022/10/26/openssl-3-0-7-vulnerability-critical-fix/

from:https://www.techtalkthai.com/openssl-will-releases-critical-vulnerability-patch/

Oracle ออก Critical Patch Update แรกปี 2018 อุดช่องโหว่ 237 รายการบนกว่า 100 ผลิตภัณฑ์

Oracle ผู้ให้บริการระบบฐานข้อมูลและ Cloud ชื่อดัง ออก Critical Patch Update (CPU) เดือนมกราคม 2018 สำหรับอุดช่องโหว่ Meltdown, Spectre และอื่นๆ รวม 237 รายการบนผลิตภัณฑ์มากกว่า 100 ผลิตภัณฑ์ ไม่เว้นแม้แต่ Oracle Database Server และ Java SE

แพตช์ที่น่าสนใจ ได้แก่

  • แพตช์สำหรับ Java Virtual Machine และช่องโหว่บน Oracle Database Server อีก 4 รายการ ซึ่งช่องโหว่ที่รุนแรงที่สุดมี CVSS 9.1/10 ส่วนอีก 3 ช่องโหว่ที่เหลือช่วยให้แฮ็กเกอร์สามารถเจาะระบบจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนได้
  • แก้ปัญหาช่องโหว่บน Java SE เวอร์ชัน 6 – 9 รวม 21 รายการ ซึ่ง 18 รายการสามารถโจมตีได้ทันทีโดยไม่ต้องพิสูจน์ตัวตน ในขณะที่ช่องโหว่ที่มีความรุนแรงสูงสุดมี CVSS 8.3/10
  • อุดช่องโหว่ Deserialization 2 รายการที่ Waratek ค้นพบบนแพลตฟอร์ม Java
  • อุดช่องโหว่ Meltdown และ Spectre บนชิป Intel

ที่น่าสนใจคือ ช่องโหว่บนแพลตฟอร์ม Java มีจำนวนเพิ่มขึ้นถึง 2 เท่าเมื่อเทียบกับ CPU เมื่อเดือนมกราคม 2016 ซึ่งแสดงให้เห็นถึงแนวโน้มความไม่มั่นคงปลอดภัยของ Java ที่สำคัญคือ 86% ของแพตช์ที่มีระดับความรุนแรงสูงใช้เวลานานกว่า 30 วันถึงจะได้รับการติดตั้ง ในขณะที่แพตช์อื่นๆ ใช้เวลาอัปเดตโดยเฉลี่ยนานกว่า 90 วัน ส่งผลให้องค์กรทั้งหลายที่ใช้แพลตฟอร์ม Java ตกอยู่ในความเสี่ยงสูง

แนะนำให้ผู้ดูแลระบบวางแผนดำเนินการอัปเดตแพตช์โดยเร็ว

รายละเอียดเพิ่มเติม: http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

ที่มา: https://www.helpnetsecurity.com/2018/01/17/oracle-cpu-january-2018

from:https://www.techtalkthai.com/oracle-releases-critical-patch-update-jan-2018/

Joomla! 3.7.1 ออกสัปดาห์นี้ อุดช่องโหว่ความรุนแรงระดับสูงสุด แนะผู้ใช้เตรียมอัปเดตด่วน

ทาง Joomla! ออกมาเตือนว่าจะมีการอัปเดตอุดช่องโหว่ความรุนแรงระดับสูงสุดภายในสัปดาห์นี้ โดยระบุวันที่คาดว่าอัปเดตนี้จะออกมาคือวันที่ 17 พฤษภาคม 2017 เวลา 21.00 เมืองไทย

 

ถึงแม้สัปดาห์ที่แล้ว Joomla! จะออก Joomla 3.7.1 แบบ Release Candidate มาแล้ว แต่อัปเดตรุ่นนั้นก็ยังไม่ได้มี Security Fix ดังกล่าว และทาง Joomla! เองก็ยังไม่สามารถออกมาเปิดเผยได้ว่าช่องโหว่นั้นมีรายละเอียดอย่างไร เพื่อไม่ให้มีผู้อื่นนำไปใช้โจมตีได้จนกว่า Patch จะออก ดังนั้นผู้ใช้งาน Joomla ทุกคนจึงควรเตรียมอัปเดต ก่อนที่จะมีผู้โจมตีนำช่องโหว่นี้ไปใช้โจมตีเป็นวงกว้างในภายหลังนะครับ

 

ที่มา: https://www.joomla.org/announcements/release-news/5704-important-security-announcement-pre-release-371.html

from:https://www.techtalkthai.com/joomla-3-7-1-will-be-released-this-week-with-serious-security-fix/

Oracle ออกประจำไตรมาสแรกปี 2017 อุดช่องโหว่รวม 270 รายการ

Oracle ผู้ให้บริการโซลูชันฐานข้อมูลและแอพพลิเคชันเชิงธุรกิจบนระบบ Cloud ชื่อดัง ออก Critical Patch Update ประจำไตรมาสแรกของปี 2017 อุดช่องโหว่บนผลิตภัณฑ์ทั้งหมดรวม 270 รายการ ซึ่งมากกว่า 100 รายการเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถทำอันตรายระบบจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนได้

สรุปรายการช่องโหว่ที่น่าสนใจ

  • ช่องโหว่บน Oracle Java SE มีทั้งหมด 17 รายการ 16 รายการเป็นช่องโหว่ที่อาจถูกโจมตีจากระยะไกลโดยที่แฮ็คเกอร์ไม่จำเป็นต้องพิสูจน์ตัวตน
  • ช่องโหว่บน MySQL มี 27 รายการ 5 รายการเป็นช่องโหว่ที่อาจถูกเจาะจากระยะไกลได้ ในขณะที่ Oracle Database มีช่องโหว่รวม 2 รายการ
  • Sun Solaris และ Virtual Box มีช่องโหว่อย่างละ 4 รายการ และ 1 รายการนั้นเป็นช่องโหว่บน Kernel ของ Solaris และช่องโหว่บน GUI ที่ใช้โปรโตคอล HTTP ของ Virutal Box ซึ่งช่วยให้แฮ็คเกอร์โจมตีจากระยะไกลได้
  • ช่องโหว่ส่วนใหญ่ที่ค้นพบปรากฏบน Oracle Application, Fusion Middleware, Financial Applications และ Retail Applications ซึ่งช่องโหว่เหล่านี้สามารถโจมตีได้ผ่านโปรโตคอล HTTP โดยที่แฮ็คเกอร์ไม่ต้องพิสูจน์ตัวตนแต่อย่างใด

แนะนำผู้ใช้ผลิตภัณฑ์ของ Oracle วางแผนอัปเดตแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา: https://blog.qualys.com/laws-of-vulnerabilities/2017/01/17/oracle-january-2017-cpu-fixes-270-vulnerabilities

from:https://www.techtalkthai.com/oracle-cpu-jan-2017/

Oracle ปล่อยอัพเดทแพทช์ชุดใหญ่ อุดช่องโหว่กว่า 276 จุด

techtalkthai_banner_oracle

Oracle ปล่อยอัพเดทแพทช์ชุดใหญ่ ประจำเดือนกรกฎาคม อุดช่องโหว่กว่า 276 จุด ในหลายผลิตภัณฑ์

Oracle ได้ทำการปล่อยอัพเดท Critical Patch Update (CPU) อุดช่องโหว่ในผลิตภัณฑ์มากกว่า 84 ตัว เช่น MySQL, Java SE, Fusion Middleware, WebLogic Sever, GlassFish และ Enterprise Manager software ซึ่งภายในช่องโหว่กว่า 276 จุดนี้ มีถึง 159 จุดที่ทำให้แฮ็กเกอร์สามารถทำการโจมตีแบบ Remote Exploit โดยที่ไม่จำเป็นต้องมีการยืนยันตัวตนแต่อย่างใด ในขณะเดียวกันก็มีช่องโหว่ที่ได้คะแนน CVSS ถึง 9.8 คะแนน อยู่จำนวน 19 จุดด้วยกัน แนะนำให้ผู้ใช้งานรีบทำการตรวจสอบและอัพเดทโดยด่วน

ในปี 2015 ที่ผ่านมา Oracle มีค่าเฉลี่ยจำนวนช่องโหว่ที่แก้ไขต่อการอัพเดทหนึ่งครั้งอยู่ที่ 161 จุด และปี 2014 อยู่ที่ 128 จุด ส่วนการอัพเดท Critical Patch Update ครั้งถัดไปจะออกมาในวันที่ 18 ตุลาคมนี้

สามารถตรวจสอบผลิตภัณฑ์ที่ได้รับการแพทช์ได้ที่ : http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html

ที่มา : http://www.zdnet.com/article/oracle-security-update-patches-record-276-vulnerabilities

from:https://www.techtalkthai.com/oracle-releases-critical-patch-update-fix-276-vulnerability/