Elasticsearch และ Logstash ออกอัพเดตใหม่ปิดช่องโหว่ Log4Shell

By nutmos Writer on Tag: Elastic, Elasticsearch, Log4j, Security

Elastic ออกอัพเดต Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 แล้วเมื่อช่วงปลายเดือนธันวาคม โดยจุดสำคัญของเวอร์ชันนี้คืออัพเดต Apache Log4j เป็นเวอร์ชันใหม่เพื่อแก้ช่องโหว่ Log4Shell ที่เป็นข่าวในช่วงต้นเดือนธันวาคมที่ผ่านมา

สำหรับตัว Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 มีอัพเดตแก้ไขดังนี้

Read more

กระทรวงไอทีจีนหยุดความร่วมมือกับ Alibaba Cloud หลังไม่ได้แจ้งช่องโหว่ Log4j ให้รัฐบาล

By lew Founder on Tag: China, Log4j, Alibaba Cloud

กระทรวงอุตสาหกรรมและเทศโนโลยีสารสนเทศ (Ministry of Industry and Information Technology - MIIT) ของจีนหยุดความร่วมแชร์ภัยไซเบอร์กับ Alibaba Cloud เป็นระยะเวลาอย่างน้อยหกเดือน เนื่องจากไม่พอใจที่ Alibaba Cloud ไม่ได้แจ้งช่องโหว่ Log4j ให้รัฐบาลทราบล่วงหน้า โดย MIIT ระบุว่ารู้ข่าวช่องโหว่นี้จากช่องทางอื่น ไม่ใช่ Alibaba Cloud ที่เป็นผู้พบช่องโหว่เอง

Read more

กระทรวงกลาโหมเบลเยียมถูกแฮกด้วยช่องโหว่ Log4j

By lew Founder on Tag: Log4j, Security, Belgium

กระทรวงกลาโหมเบลเยียมถูกคนร้ายแฮกด้วยช่องโหว่ Log4j ตั้งแต่วันพฤหัสที่ผ่านมา จนระบบหลายส่วนใช้งานไม่ได้ และผู้เกี่ยวข้องต้องแก้ไขปัญหาตลอดสุดสัปดาห์ที่ผ่านมา

แถลงการไม่เปิดเผยว่าระบบใดถูกโจมตีบ้าง และถูกโจมตีโดยกลุ่มใด แต่ระบุเพียงว่าจำกัดความเสียหายได้แล้ว

Read more

Log4j ออกเวอร์ชั่น 2.17.0 แก้ช่องโหว่ Message Lookup ครั้งที่สาม

By lew Founder on Tag: Log4j, Security

โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service

ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่

Read more

พบ Log4j ยังมีช่องโหว่บางกรณี แฮกเกอร์ส่งโค้ดเข้าไปรันได้ ต้องอัพเป็น 2.16.0

By lew Founder on Tag: Log4j, Security

นักวิจัยพบช่องโหว่ CVE-2021-44228 ร้ายแรงสูงในแพ็กเกจ Log4j ตั้งแต่สัปดาห์ที่ผ่านมา แม้ทางโครงการจะแพตช์ได้อย่างรวดเร็ว แต่ก็พบช่องโหว่ระดับปานกลาง CVE-2021-45046 แต่หลังจากศึกษาเพิ่มเติมก็เป็นไปได้ว่าช่องโหว่ CVE-2021-45046 นี้อาจจะกลายเป็นช่องโหว่ร้ายแรงสูง แม้จะเบากว่าช่องโหว่แรกก็ตาม

Read more

GitHub ออกเครื่องมือช่วยสแกนหาช่องโหว่ Log4j ในซอร์สโค้ด-โปรเจคต์

By mk Founder on Tag: GitHub, Log4j, Security

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

Read more

Cloudflare เปิดกรอง log ป้องกันระบบหลังบ้านโดนโจมตีช่องโหว่ Log4j

By lew Founder on Tag: Cloudflare, Log4j
Cloudflare

ช่องโหว่ Log4j กระทบทุกระบบที่ log ข้อความโจมตีจากแฮกเกอร์ โดยตอนนี้สินค้ากลุ่มความปลอดภัยจำนวนมากมักมีตัวช่วยกรองการโจมตีออกไป แต่มีระบบอื่นๆ ที่ไม่ได้รับข้อความจากแฮกเกอร์โดยตรงแต่ก็โดนโจมตีไปด้วยได้ เช่น ระบบประมวล log ที่ระบบจำนวนมากเป็นจาวา เช่น Elasticsearch อาจจะอ่าน log แล้วกลายเป็นตัวดึงโค้ดมารันแทนที่ตัวแอปที่แฮกเกอร์ยิงข้อความเข้าไป ล่าสุดทาง Cloudflare ก็ออกมาช่วยป้องกันระบบเหล่านี้

Read more

CISA ออกคำสั่ง หน่วยงานภาครัฐของสหรัฐต้องอุดแพตช์ Log4j ภายใน 24 ธันวาคม

By mk Founder on Tag: CISA, Log4j, Security, US-CERT

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

Read more

Check Point รายงาน การโจมตีผ่าน Log4j สูงถึง 8 แสนครั้งใน 72 ชม. แรก, องค์กร 44% โดนโจมตี

By mk Founder on Tag: Check Point, Log4j, Security

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

Read more

แพตช์เดียวไม่พอ Log4j ออกเวอร์ชั่น 2.16.0 หลังพบแพตช์เดิมปิดช่องโหว่ไม่หมด

By lew Founder on Tag: Log4j, Security

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

Read more

CISA หน่วยความปลอดภัยไซเบอร์สหรัฐเตือนภัย ช่องโหว่ Log4j รุนแรงมาก ควรอุดแพตช์ทันที

By mk Founder on Tag: CISA, Cybersecurity, Log4j, Security

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

Read more

Cloudflare พบคนร้ายเริ่มโจมตี log4j ตั้งแต่วันที่ 1 ธันวาคม, AWS ออกแพตช์แบบไม่ต้องรีสตาร์ต, ซอฟต์แวร์สแกนในองค์กรออกแล้ว

By lew Founder on Tag: Log4j, Security

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

Read more

Elastic รายงานช่องโหว่ log4j กระทบ Elasticsearch, Logstash พร้อมคำแนะนำบรรเทาช่องโหว่ระหว่างรอแพทซ์

By nutmos Writer on Tag: Elastic, Elasticsearch, Log4j, Security

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

Read more

Minecraft ออกอัพเดตไคลเอนต์-เซิร์ฟเวอร์ Java Edition อุดช่องโหว่จาก log4j แล้ว

By mk Founder on Tag: Minecraft, Java, Security, Log4j

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

  • official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
  • modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
  • game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา
Read more

ช่องโหว่ log4j กระทบถึงแอปเดสก์ทอป, ผู้ให้บริการ WAF อัพเดตไฟร์วอลล์แล้ว, ทีมวิจัยออกวัคซีนแก้ช่องโหว่ให้

By lew Founder on Tag: Log4j, Security, Apache, Java

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

Read more

แจ้งเตือน ไลบรารี log4j มีช่องโหว่รันโค้ด หาก log ข้อมูลจากผู้ใช้โดยตรง ควรปิดช่องโหว่ทันที

By lew Founder on Tag: Log4j, Java, Apache, Security

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

Read more
Subscribe to Log4j
Apple
public://topics-images/apple_webp.png
SCB10X
public://topics-images/347823389_774095087711602_515970870797767330_n_webp.png
Windows 11
public://topics-images/hero-bloom-logo.jpg
Huawei
public://topics-images/huawei_standard_logo.svg_.png
Google Keep
public://topics-images/google_keep_2020_logo.svg_.png
Instagram
public://topics-images/instagram_logo_2022.svg_.png
SCB
public://topics-images/9crhwyxv_400x400.jpg
Microsoft
public://topics-images/microsoft_logo.svg_.png
Basecamp
public://topics-images/bwpepdi0_400x400.jpg
Tinder
public://topics-images/hwizi8ny_400x400.jpg
FTC
public://topics-images/seal_of_the_united_states_federal_trade_commission.svg_.png
Pinterest
public://topics-images/pinterest.png
Palantir
public://topics-images/-nzsuc6w_400x400.png
AIS Business
public://topics-images/logo-business-2021-1.png
PostgreSQL
public://topics-images/images.png
JetBrains
public://topics-images/icx8y2ta_400x400.png
Krungthai
public://topics-images/aam1jxs6_400x400.jpg
Palworld
public://topics-images/mccyhcqf_400x400.jpg
Bill Gates
public://topics-images/bill_gates-september_2024.jpg
VMware
public://topics-images/1nj4i1gp_400x400.jpg
Take-Two Interactive
public://topics-images/0khle7nh_400x400.jpg
OpenAI
public://topics-images/ztsar0jw_400x400.jpg
Thailand
public://topics-images/flag_of_thailand.svg_.png
NVIDIA
public://topics-images/srvczsfq_400x400.jpg
ServiceNow
public://topics-images/ytnrfphe_400x400.png
Klarna
public://topics-images/urcllpjp_400x400.png
Google Play
public://topics-images/play.png
Drupal
public://topics-images/drupal.png
Virtua Fighter
public://topics-images/virtua_figther_2024_logo.png
Paradox Interactive
public://topics-images/paradox_interactive_logo.svg_.png
Europa Universalis
public://topics-images/europa-icon.png
Nintendo Switch 2
public://topics-images/mainvisual.png
Cloudflare
public://topics-images/cloudflare_logo.svg_.png
Samsung
public://topics-images/samsung.png
Google
public://topics-images/google_2015_logo.svg_.png
Uber
public://topics-images/uber.png
Microsoft 365
public://topics-images/m365.png
USA
public://topics-images/flag_of_the_united_states.svg_.png
GM
public://topics-images/0pe0po-z_400x400.jpg
Perplexity
public://topics-images/perplex.jpg
Xperia
public://topics-images/xperia.png
iOS 18
public://topics-images/ios-18-num-96x96_2x.png
True
public://topics-images/true_logo.png
SoftBank
public://topics-images/softbank.jpg
Pac-Man
public://topics-images/pacman.png
Harry Potter
public://topics-images/harry.png
Marvel
public://topics-images/marvel.png
Skydance
public://topics-images/skydance.png
SEA
public://topics-images/sealogo.png
Find My Device
public://topics-images/find.png
Gemini
public://topics-images/google_gemini_logo.svg__1.png
Accessibility
public://topics-images/accessibility-128x128_2x.png
Material Design
public://topics-images/m3-favicon-apple-touch.png
Android 16
public://topics-images/android16.png
Android
public://topics-images/android_0.png
Firefox
public://topics-images/firefox_logo-2019.svg_.png
Google Messages
public://topics-images/messages.png
Notepad
public://topics-images/notepad.png
Singapore
public://topics-images/flag_of_singapore.svg_.png
Airbnb
public://topics-images/airbnb.png
PS5
public://topics-images/ps5.png
Krafton
public://topics-images/krafton.png
Doom
public://topics-images/doom-game-s_logo.svg_.png
AMD
public://topics-images/amd_logo.svg_.png
GTA
public://topics-images/gta_0.png
DoorDash
public://topics-images/doordash.png
YouTube
public://topics-images/yt.png
YouTube Music
public://topics-images/yt-music.png
Facebook
public://topics-images/fb.png
iQiyi
public://topics-images/iqiyi_0.png
Viu
public://topics-images/viu.png
Amazon Prime Video
public://topics-images/prime-vid.png
Spotify
public://topics-images/spotify.jpg
Apple TV
public://topics-images/apple-tv.png
HBO Max
public://topics-images/max.png
Threads
public://topics-images/threads.png
Alexa
public://topics-images/alexa.png
Kindle App
public://topics-images/kindle.png
Shopee
public://topics-images/shopee.png
Waze
public://topics-images/waze.png
Bilibili
public://topics-images/bili.png
Google Maps
public://topics-images/maps.png
Apple Music
public://topics-images/apple-music.png
Claude
public://topics-images/claude.png
TikTok
public://topics-images/tiktok.png
Xbox
public://topics-images/xbox.png
Tesla
public://topics-images/tesla.png
Chrome
public://topics-images/chrome.png
Google Calendar
public://topics-images/gcal.png
Google Home
public://topics-images/ghome.png
Google Meet
public://topics-images/meet.png
NotebookLM
public://topics-images/notebooklm.png
Reddit
public://topics-images/reddit.png
Assassin’s Creed
public://topics-images/ac.png
Mark Zuckerberg
public://topics-images/zuck.jpg
Meta
public://topics-images/meta.png
Meta AI
public://topics-images/meta-ai.png
Epic Games
public://topics-images/epic_games_logo.svg_.png
Unreal
public://topics-images/unreal_engine_logo-new_typeface-svg.png
Fortnite
public://topics-images/fortnite.png
DeepMind
public://topics-images/deepmind.png
Databricks
public://topics-images/databricks.png