ปัญหาเรื่องความปลอดภัยของซอฟต์แวร์โอเพนซอร์สมีความรุนแรงขึ้นเรื่อยๆ (กรณีล่าสุดของ xz ที่เกือบสร้างผลกระทบในวงกว้าง โชคดีที่ตรวจเจอกันก่อน) ล่าสุดกลุ่มมูลนิธิผู้พัฒนาซอฟต์แวร์โอเพนซอร์สหลายราย ประกาศจับมือกันเพื่อวาง "กระบวนการพัฒนาซอฟต์แวร์ที่ปลอดภัย" แล้ว

โครงการนี้มี Eclipse Foundation เป็นเจ้าภาพ ร่วมด้วยองค์กรอีกจำนวนมาก ได้แก่ Apache Software Foundation, Blender Foundation, OpenSSL Software Foundation, PHP Foundation, Python Software Foundation, Rust Foundation

Apache ออกอัพเดต Apache HTTP Server เวอร์ชัน 2.4.52 แก้ไขสองช่องโหว่ร้ายแรงที่มีรายงานก่อนหน้านี้ CVE-2021-44790 และ CVE-2021-44224 ซึ่งผู้โจมตีอาจเข้ามาควบคุมระบบที่กระทบได้

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

Apache ออกแพตช์ให้ Apache HTTP Server อีกครั้งหลังแพตช์ก่อนหน้านี้ที่แก้ไขช่องโหว่อ่านไฟล์นอก document root (CVE-2021-41773) เพียงสามวันเนื่องจากแพตช์ก่อนหน้านี้ไม่สมบูรณ์ทำให้คนร้ายยังคงโจมตีได้อยู่

ช่องโหว่นี้ถูกโจมตีไปแล้วในสัปดาห์นี้ และมีการสแกนเซิร์ฟเวอร์ที่ได้รับผลกระทบอย่างต่อเนื่อง ควรรีบติดตั้งแพตช์ทันที

ที่มา - Apache

Apache รายงานแก้ไขช่องโหว่ CVE-2021-41773 ของ Apache HTTP Server ที่เปิดทางให้คนร้ายสามารถเข้าถึงไฟล์นอก document root ได้ เปิดทางให้คนร้ายอ่านข้อมูลที่ไม่ควรอ่านได้ เช่น สคริปต์ CGI จนอาจนำไปสู่การโจมตีส่วนอื่นๆ ของระบบในที่สุด

ช่องโหว่นี้เกิดจากโค้ดที่เพิ่งใส่เข้ามาในเวอร์ชั่น 2.4.49 ที่เพิ่งออกเมื่อกลางเดือนกันยายนที่ผ่านมา โดยโค้ดส่วนตรวจสอบตำแหน่ง (path) ของไฟล์ ไม่ได้ตรวจสอบในกรณีที่ URL เข้ารหัส (encode) มา ทำให้แฮกเกอร์สามารถใช้ "%2E" แทนจุดเพื่อออกนอกโฟลเดอร์ที่กำหนดได้

แม้ Apache HTTP Server เวอร์ชั่นนี้จะเพิ่งออกมาไม่กี่สัปดาห์ แต่ตอนนี้ก็มีเซิร์ฟเวอร์ใช้งานแล้วกว่าแสนเครื่อง หากใครเพิ่งอัพเดตซอฟต์แวร์ไปก็ควรรีบอัพเดตอีกรอบ

Apache Cassandra ฐานข้อมูล big data / NoSQL ออกเวอร์ชัน 4.0 ซึ่งเป็นการออกเวอร์ชันใหญ่ครั้งแรกในรอบ 6 ปี (เวอร์ชัน 3.0 ออกปี 2015)

ของใหม่ใน Cassandra 4.0 ได้แก่

โครงการ Apache Mesos ที่เป็นคู่แข่งโดยตรงของ Kubernetes เงียบเหงาลงไปมากในช่วงหลัง โดยปี 2020 มีการออกรุ่นใหม่เพียงครั้งเดียว (ปี 2019 ออก 2 รุ่นใหญ่ 5 รุ่นย่อย) จนล่าสุดทีมพัฒนา Mesos เริ่มหารือกันว่าจะยุติการพัฒนาโครงการนี้แล้ว

Apache Mesos เป็นโครงการที่เริ่มตั้งแต่ปี 2009 โดยทีมพัฒนาชุดแรกได้ก่อตั้งบริษัท Mesosphere มาหารายได้ในเชิงพาณิชย์ แต่ช่วงหลังกลับทานกระแส Kubernetes ไม่ไหว จนบริษัท Mesosphere ต้องเปลี่ยนชื่อตัวเองเป็น D2iQ และหันมาทำธุรกิจกับ Kubernetes แทน ความสนใจพัฒนา Mesos จึงลดลงไปมาก

ผู้ใช้ Apache Web Server คงคุ้นเคยกับ mod_ssl ที่ใช้จัดการ HTTPS โดยโมดูลนี้เขียนด้วยภาษา C ซึ่งมีปัญหาตามมาเรื่องความปลอดภัยที่ระดับตัวภาษา และที่ผ่านมาก็พบช่องโหว่ความปลอดภัยมากมาย

ล่าสุด กูเกิลประกาศสนับสนุนโครงการใหม่ mod_tls ที่ทำงานแบบเดียวกัน แต่เขียนด้วยภาษา Rust ที่ออกแบบมาให้ปลอดภัยมากขึ้น (memory safety)

โมดูล mod_tls จะรันอยู่บนไลบรารี Rustls ที่สร้างขึ้นมาทดแทน OpenSSL ซึ่งเป็นภาษา C เช่นกัน หน่วยงานที่พัฒนาคือ Internet Security Research Group (ISRG) ที่เรารู้จักจากโครงการ Let's Encrypt จะรับเงินสปอนเซอร์จากกูเกิล ไปจ้าง Stefan Eissing หนึ่งในนักพัฒนา Apache Web Server มานำทีม

Apache Software Foundation (ASF) ประกาศย้ายซอร์สโค้ดของมูลนิธิจำนวน 350 โครงการ 200 ล้านบรรทัด จากเดิมที่อยู่บน Git ของมูลนิธิเอง ขึ้นมาอยู่บน GitHub แทนทั้งหมด

เดิมที ASF มีระบบจัดการซอร์สโค้ดสองตัวคือ Subversion และ Git บนเซิร์ฟเวอร์ของตัวเอง แต่ช่วงหลังเมื่อ GitHub ได้รับความนิยมมากขึ้น นักพัฒนาในชุมชนก็อยากเห็นซอร์สโค้ดอยู่บน GitHub แทน ซึ่ง ASF ก็นำซอร์สโค้ดของบางโครงการขึ้น GitHub แบบ read-only มาได้สักระยะหนึ่ง และตัดสินใจย้ายระบบทั้งหมดตั้งแต่ช่วงปลายปี 2018

ที่ผ่านมา ASF ดำเนินการมานาน 20 ปี และมีการ commit โค้ดทั้งหมดเกิน 1,000 ล้านบรรทัด ถ้านับเป็นจำนวนการ commit คือ 3 ล้านครั้ง

วันนี้ Apache httpd ออกอัพเดตรุ่น 2.4.39 แก้ไขช่องโหว่ความปลอดภัย โดยมีช่องโหว่ระดับ "สำคัญ" 3 รายการ ช่องโหว่ที่สำคัญที่สุดคือ CVE-2019-0211 ที่เปิดให้ผู้ใช้ที่รันสคริปต์ภายใต้เว็บเซิร์ฟเวอร์ Apache สามารถยึดเครื่องได้หากตัว httpd รันในสิทธิ์ root

ช่องโหว่นี้ได้รับรายงานจาก Charles Fol นักวิจัยจาก Ambionics Security ตั้งแต่ 22 กุมภาพันธ์ที่ผ่านมา

ช่องโหว่ระดับสำคัญอีกสองรายการ เป็นการตรวจสอบผู้ใช้ ด้วย mod_auth_digest และ mod_ssl ที่บางกรณีผู้ใช้อาจข้ามการจำกัดสิทธิ์ไปได้ นอกจากนี้ยังมีช่องโหว่ระดับต่ำอีกสองรายการ

หลังจากช่องโหว่ Struts 2 เผยแพร่ออกมาพร้อมกับโค้ด PoC ทาง Volexity ก็รายงานว่าเริ่มเห็นการสแกนหาช่องโหว่ และยึดเครื่องเพื่อขุดเงินคริปโตกันแล้ว โดยตอนนี้พบต้นทางการสแกนมาจากรัสเซียและฝรั่งเศส

ตัวอย่างการสแกนเป็นการลองยิงโค้ดเข้าไปยัง /struts3-showcase/ เพื่อให้ดาวน์โหลดสคริปต์มาจาก GitHub อีกครั้ง จากนั้นสคริปต์ค่อยดาวน์โหลด miner มารัน

ข้อสังเกตอย่างหนึ่งคือ miner ที่แฮกเกอร์ใช้นั้นมีสามไฟล์ รองรับทั้ง x86, ARM, และ MIPS ทำให้สามารถขุดได้แทบทุกที่ ทั้งพีซี, เซิร์ฟเวอร์, คอมพิวเตอร์ IoT, หรือเราท์เตอร์

ช่องโหว่ CVE-2018-11776 เป็นช่องโหว่รันโค้ดจากระยะไกล ที่แฮกเกอร์สามารถสั่งรันโค้ดบน Apache Struts 2 รุ่น 2.3.34 หรือ 2.5.16 ลงไปทั้งหมด โดยช่องโหว่มีความร้ายแรงระดับวิกฤติ (คะแนน CVSSv3 ที่ 9.8) ตอนนี้ก็มีโค้ด PoC เปิดให้ดาวน์โหลดแล้ว

Allan Liska จากเว็บ Recorded Future ระบุว่าพบการพูดคุยในหมู่แฮกเกอร์จีนและรัสเซียตามฟอรั่มต่างๆ และโค้ดทดสอบเจาะช่องโหว่นี้ก็เปิดให้ดาวน์โหลดแล้วบน GitHub

โครงการ Apache OpenOffice มีปัญหาออกรุ่นใหม่ช้า ด้วยเหตุผลว่าขาดแคลนนักพัฒนา จนอาจต้องปิดตัว

OpenOffice ออกรุ่นใหญ่ครั้งสุดท้าย 4.1 เมื่อปี 2014 นับจากนั้มาก็ออกรุ่นย่อยเพื่อแก้บั๊กปีละ 1 รุ่นเท่านั้น รุ่นล่าสุดคือ 4.1.4 ที่เพิ่งออกเมื่อเดือนตุลาคม 2017 ห่างจากรุ่น 4.1.3 ประมาณหนึ่งปีเต็ม

Jim Jagielski หนี่งในคณะกรรมการบริหาร OpenOffice ให้สัมภาษณ์กับ The Register ยืนยันว่าโครงการยังไม่ตาย และกำลังกลับมาได้รับความสนใจจากนักพัฒนาอีกครั้ง โดยเวอร์ชันถัดไปจะออกรุ่นใหญ่ 4.2.0 แต่ยังไม่ระบุว่าจะเป็นเมื่อไร

รายงานข้อมูลรั่วไหลจากบริษัท Equifax กลายเป็นประเด็นใหญ่ของวงการความปลอดภัยและความเป็นส่วนตัวของข้อมูลส่วนบุคคล ล่าสุดทาง Apache ออกมาตอบโต้ข่าวจากเว็บ Quartz ที่จับวันที่รายงานการรั่วไหล (8 กันยายน) ไปชนกับการแก้ช่องโหว่ของ Struts ล่าสุดเมื่อวันที่ 6 กันยายน โดยระบุว่าเป็นการใช้ช่องโหว่ก่อนมีการรายงานออกมา

Man Yue Mo จาก lgtm.com รายงานช่องโหว่ CVE-2017-9805 กระทบ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด โดยเป็นช่องโหว่ unsafe desrialization เปิดทางให้แฮกเกอร์รันโค้ดจากระยะไกลได้ โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว ทุกคนควรอัพเดตโดยด่วน

Mo รายงงานช่องโหว่นี้ตั้งแต่เดือนกรกฎาคมที่ผ่านมา และทาง Struts ก็เตรียมแผนการออกอัพเดตตั้งแต่ต้นเดือนสิงหาคม โดยปัญหาสำคัญคือ REST API บางส่วนอาจจะไม่ทำงานเพราะอาศัยพฤติกรรมเดิมของ API ช่องทางแก้ปัญหาอย่างหนึ่งคือปิดการทำงาน REST ไปเสีย หากยังไม่สามารถอัพเดตได้

W3Techs ผู้สำรวจเทคโนโลยีเว็บรายงานส่วนแบ่งเว็บเซิร์ฟเวอร์เดือนเมษายน พบว่า Apache ต่ำกว่า 50% เป็นครั้งแรกตั้งแต่มีการสำรวจมาในปี 2010 และฝั่ง nginx เพิ่มขึ้นอย่างมั่นคงจนมาถึง 33.3% แล้ว ขณะที่ Microsoft IIS มีส่วนแบ่งลดลงช้าๆ จาก 21% ในปี 2010 มาเหลือ 11.3%

ฝั่ง Apache เองในแง่ตลาดระยะยาวดูจะมีปัญหาหนัก เพราะเว็บขนาดใหญ่ๆ ล้วนให้ความนิยม nginx สูงกว่าทั้งสิ้น ถ้านับเว็บที่คนเข้า 100,000 อันดับแรก nginx ก็จะมีส่วนแบ่งเกิน 50%

เมื่อแบ่งตามชาติแล้วจะพบว่าเว็บเซิร์ฟเวอร์อันดับหนึ่งของแต่ละชาติ ต่างกันไป แม้ส่วนใหญ่ยังคงเป็น Apache อยู่ แต่รัสเซีย และยุโรปตะวันออก รวมถึงแอฟริกาบางชาติ และลาวจะนิยม nginx มากกว่า ขณะที่จีนยังคงนิยม IIS มากที่สุด

โครงการ Apache Struts 2 ปล่อยแพตช์สำหรับช่องโหว่ CVE-2017-5638 เปิดทางให้รันโค้ดจากระยะไกลได้ และตอนนี้โครงการ Talos ของซิสโก้ก็รายงานว่าหลังปล่อยแพตช์ไม่นานก็เริ่มมีการโจมตีแล้ว

CVE-2017-5638 เปิดให้แฮกเกอร์สามารถสั่งคำสั่งใดๆ บนเครื่องปลายทางได้ จาก HTTP request ที่สร้างขึ้นมาเฉพาะ โดยแพตช์ปล่อยเมื่อวันจันทร์ที่ผ่านมา และช่วงวันพฤหัสก็เริ่มมีการโจมตี

ทีมงาน Talos พบว่าแฮกเกอร์มักอาศัยช่องโหว่นี้เข้ามารันคำสั่งง่ายๆ เช่น whoami หรือ ifconfig ก่อนเพื่อเก็บข้อมูล จากนั้นจึงปิดไฟร์วอลล์ แล้วดาวน์โหลดตัวมัลแวร์

ตอนนี้ทางแก้คือเร่งอัพเกรดเป็น Struts 2.3.32 หรือ 2.5.10.1 ขึ้นไป

MXNet ไลบรารีสำหรับการพัฒนา deep learning ที่อเมซอนให้การสนับสนุนเป็นพิเศษ ได้เข้าเป็นโครงการภายใต้ Apache Foundation ภายใต้โครงการ Incubator แล้ว

การเข้าสู่กระบวนการ Incubator จะปรับโครงการโอเพนซอร์สให้ทำงานร่วมกับชุมชนได้ดียิ่งขึ้น เช่น การหานักพัฒนาที่รับผิดชอบโครงการมารับผิดชอบระยะยาว, รับประกันว่ามีนักพัฒนาอย่างน้อยสามคนที่มีสิทธิ์ส่งโค้ดเข้าโครงการ, และกระบวนการตัดสินใจต่างๆ มีการชี้แจงเหตุผลต่อสาธารณะ

ในแง่พัฒนาการของโครงการตอนนี้คงไม่น่าห่วงนัก เพราะทางอเมซอนระบุว่ามีนักพัฒนาจำนวนมากของบริษัทที่ทำหน้าที่พัฒนา MXNet โดยตรง

กระบวนการบีบอัดข้อมูลเว็บมักใช้ deflate หรือ gzip กันมาเป็นเวลานาน เมื่อปีที่แล้วกูเกิลเสนออัลกอริธึม Brotli ที่บีบอัดข้อมูลได้มากขึ้นโดยยังคงประสิทธิภาพที่ดี แม้ว่ากูเกิลจะเปิดฟีเจอร์นี้ใน Chrome เมื่อต้นปีที่ผ่านมา แต่ก็นอกกูเกิลก็ยังไม่เห็นการใช้งานเป็นวงกว้างนัก ล่าสุด Apache เพิ่มโค้ด mod_brotli รองรับการบีบอัดแบบใหม่นี้แล้ว

ทาง Apache ใช้โค้ดจากโครงการ libbrotli แทนที่โค้ดจากกูเกิลโดยตรง เพราะโค้ดของกูเกิลไม่ได้เปิดทางให้คอมไพล์ไลบรารีเอาไว้

โค้ดอยู่ใน subversion ที่ revision 1761714 คงใช้เวลาอีกพักใหญ่ๆ กว่าจะออกเวอร์ชั่นที่รวมโค้ดนี้ไว้ในตัว

โครงการ OpenOffice ในอดีต ถูกแยกออกเป็น 2 โครงการคือ LibreOffice ภายใต้ The Document Foundation กลุ่มที่ไม่พอใจ Oracle และภายหลัง Oracle ก็ยกโครงการให้ Apache ดูแลแทน

ฝั่งของ LibreOffice เจริญรุ่งเรืองดี แต่ Apache OpenOffice กลับเงียบหายไปนาน ถึงแม้ปีที่แล้วทางโครงการออกมาบอกว่าจะออกรุ่นใหม่ แต่ก็ออกเพียงรุ่นเดียวคือ 4.1.2 ในเดือนตุลาคมปีที่แล้ว มาถึงวันนี้ยังไม่มีอะไรใหม่กว่านั้นเลย

ล่าสุด Dennis Hamilton รองประธานของ Apache OpenOffice ออกมาตั้งคำถามถึงอนาคตของโครงการว่าควรทำอย่างไร เขาระบุว่าปัจจุบัน OpenOffice มีนักพัฒนาน้อยมาก (roughly half-dozen หรือประมาณ 5-6 คน) ซึ่งดูแล้วไม่น่าจะไปต่อไหว เมื่อไม่นานมานี้ มีคนพบช่องโหว่ของ OpenOffice 4.1.2 และแจ้งไปทางโครงการ แต่โครงการไม่มีกำลังพอจะออกรุ่น 4.1.3 ได้ และต้องใช้วิธีออกเป็นแพตช์ hotfix แทน

Apache Mesos ซอฟต์แวร์โอเพนซอร์สสำหรับสร้างคลัสเตอร์ ให้มองเห็นทรัพยากรคอมพิวเตอร์เสมือนเป็นก้อนเดียวกัน (virtual compute resource pool) เดินทางมาถึงเวอร์ชัน 1.0 แล้ว

Apache Mesos (หรือชื่อเดิม Nexus) เกิดขึ้นจากโครงการวิจัยของมหาวิทยาลัย UC Berkley ในช่วงปี 2009 หลังจากนั้นก็เติบโต และมีองค์กรใหญ่ๆ หลายแห่งนำมาใช้งานจริงจัง (เช่น Twitter และ Apple) ภายหลัง Benjamin Hindman ผู้สร้าง Mesos จึงก่อตั้งสตาร์ตอัพชื่อ Mesosphere เพื่อให้บริการ Mesos ในเชิงพาณิชย์ โดยได้รับเงินลงทุนจาก Microsoft กับ HPE ด้วย

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

Apache เปิดตัวระบบปฏิบัติการสำหรับ IoT ของตัวเองในชื่อ Mynewt สำหรับอุปกรณ์ขนาดเล็กที่ต้องทำงานโดยใช้พลังงานต่ำ, มีหน่วยความจำน้อย, และมีพื้นที่เก็บข้อมูลน้อย

Mynewt จะมีเครื่องมือช่วยเหลือสำหรับการพัฒนาหลายอย่าง เช่น bootloader, ระบบไฟล์, ระบบเก็บข้อมูล time-series, JSON, shell ในชั้นการเชื่อมต่อรองรับ Bluetooth LE 4.2 และจะรองรับ Wi-Fi ในอนาคต

ตอนนี้ Mynewt ออกรุ่น 0.9.0 ยังรองรับบอร์ดที่เป็น Cortex-M0 และ M4 เท่านั้น บอร์ดที่รองรับเช่น Arduino Zero

เมื่อวันอังคารที่ผ่านมา IBM ประกาศโอเพนซอร์ส SystemML ซึ่งเป็นตัวแปลข้อมูลสากล (universal translator) สำหรับงานด้านข้อมูลขนาดใหญ่ (big data) และ machine learning อย่างเป็นทางการ โดยเป็นแผนการต่อเนื่องที่ประกาศว่าจะสร้างระบบวิเคราะห์ข้อมูลขนาดใหญ่ที่เรียกว่า Spark เมื่อเดือนมิถุนายนที่ผ่านมา โดยจะยกให้ Apache เป็นคนดูแลโครงการนี้อย่างเป็นทางการ และจะได้ชื่อว่า Apache SystemML