461/67 (IT) ประจำวันศุกร์ที่ 27 ธันวาคม 2567
Apache Software Foundation (ASF) ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ critical ใน Apache Traffic Control ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง SQL ที่เป็นอันตรายในฐานข้อมูลได้ หมายเลข CVE-2024-45387 มีคะแนน CVSS : 9.9 จาก 10.0 โดยช่องโหว่นี้เกิดขึ้นใน Traffic Ops ของ Apache Traffic Control รุ่น <= 8.0.1 และ >= 8.0.0 โดยผู้ใช้ที่มีสิทธิ์ระดับ ‘admin,’ ‘federation,’ ‘operations,’ ‘portal,’ หรือ ‘steering’ สามารถส่งคำขอแบบ PUT ที่ออกแบบมาเฉพาะเพื่อโจมตีระบบฐานข้อมูลได้
Apache Traffic Control เป็นโซลูชันโอเพ่นซอร์สสำหรับการบริหารจัดการ Content Delivery Network (CDN) ซึ่งได้รับการประกาศเป็นโครงการระดับสูง (Top-Level Project) ตั้งแต่เดือนมิถุนายนปี 2018 ช่องโหว่นี้ถูกค้นพบโดย Yuan Luo นักวิจัยจาก Tencent YunDing Security Lab และได้รับการแก้ไขแล้วใน Apache Traffic Control รุ่น 8.0.2 นอกจากนี้ ASF ยังได้แก้ไขช่องโหว่การข้ามขั้นตอนการตรวจสอบสิทธิ์ (Authentication Bypass) ใน Apache HugeGraph-Server (CVE-2024-43441) ซึ่งมีผลกระทบต่อเวอร์ชัน 1.0 ถึง 1.3 โดยแพตช์นี้มีให้ในเวอร์ชัน 1.5.0 รวมถึงอัปเดตแก้ไขช่องโหว่ใน Apache Tomcat ที่อาจนำไปสู่การรันโค้ดระยะไกล (RCE) ทางผู้ใช้งานควรรีบอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่เหล่านี้
แหล่งข่าว https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
