งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

พบช่องโหว่ของซอฟต์แวร์เครื่องแม่ข่ายเว็บ Apache ในเวอร์ชั่น 1.3 และ 2.X ซึ่งข่องโหว่นี้สามารถถูกโจมตีจากผู้อื่นใดๆที่สามารถเรียกใช้บริการเว็บใน ลักษณะ HTTP-based Range [1] ซึ่งจะทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory ที่สูงผิดปกติจนกระทั่งเครื่องแม่ข่ายเว็บไม่สามารถให้บริการต่อไปได้ และเกิดสภาวะหยุดการทำงาน (Denial-of-Service) จากการวิเคราะห์ช่องโหว่ พบว่าสาเหตุของปัญหาน่าจะเกิด 2 สาเหตุ คือ ความบกพร่องในการบริหารจัดการการใช้ทรัพยากรของเครื่องแม่ข่ายของซอฟต์แวร์ Apache เอง และความบกพร่องในส่วนของการออกแบบโปรโตคอล HTTP ที่ยอมรับการ Request ในลักษณะ Byte serving ได้พร้อมๆกันหลายๆช่วงของข้อมูล [2] โดยไม่ได้กำหนดข้อห้ามในการเรียกใช้ช่วงข้อมูลที่มัลักษณะซ้อนทับ (Overlap) กัน ซึ่งเป็นช่องทางให้ผู้ใช้เรียกใช้ซอต์ฟแวร์ Apache เพื่ออ่านข้อมูลพร้อมๆกันหลายครั้งๆได้โดยง่าย จนกระทั่งทรัพยากรในเครื่องแม่ข่ายถูก Process Apache ใช้งานจนหมด

ผลกระทบ

ทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory สูงจนกระทั่งเกิดสภาวะหยุดการทำงาน (Denial-of-Service)

วิธีการแก้ไข

ผู้ดูแลระบบเครื่องแม่ข่ายเว็บ Apache ที่ได้รับผลกระทบจากช่องโหว่นี้ สามารถเลือกวิธีในการแก้ไข/บรรเทาปัญหาได้ตามข้อเสนอต่างๆ [3] ดังนี้

1. ดำเนินการปรับปรุงซอฟต์แวร์ Apache ให้เป็นเวอร์ชั่น 2.2.20 หรือใหม่กว่า

2. หากไม่สามารถปรับปรุงซอฟต์แวร์ให้เป็นเวอร์ชั่นที่ปรับปรุงแก้ไขช่องโหว่นี้ได้แล้ว ให้พิจารณาวิธีการดังต่อไปนี้

2.1. สำหรับ Apache 2.0 และ 2.2 ให้จำกัด Request Range Header ให้มีความยาวไม่เกิน 5 ช่วง โดยสามารถกำหนดค่า Configuration ของซอฟต์แวร์ Apache ดังต่อไปนี้

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range


Configuration นี้ จะปฏิเสธ Request Range Header ที่มีจำนวนมากกว่า 5 ช่วงขึ้นไป โดยระบบจะดำเนินการบันทึก Log ของการ Request นี้ ลงใน [Apache Log Path]/logs/range-CVE-2011-3192.log เพื่อนำข้อมูลไปตรวจสอบดูภายหลังได้ (สามารถแก้ไข path ได้ตามความเหมาะสม)

2.2 สำหรับ Apache 1.3 จำเป็นต้องอาศัยวิธีการจำกัด Request Range Header ให้มีจำนวนไม่เกิน 5 ช่วง ด้วย mod_rewrite โดยใช้ configuration ดังต่อไปนี้

 # Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]


ซึ่งวิธีการทำงานจะคล้ายกับ 2.1 แต่ระบบจะไม่สามารถบันทึก Log ของ Request Range ที่เกิน 5 ช่วงข้อมูลเอาไว้ได้

หมายเหตุ วิธีการจำกัดจำนวน Request Range ที่กำหนดไว้เป็น 5 ช่วง ใน configuration ข้างต้น อาจเปลี่ยนแปลงได้ตามความเหมาะสม เพราะ application บางชนิด เช่น e-book reader หรือ video streaming player อาจมีการใช้งาน http range request ที่ซับซ้อน ซึ่งต้องการการกำหนดค่า range มากกว่า 5 ช่วง หากกำหนดค่า range ไว้ต่ำเกินไป อาจทำให้ application ดังกล่าว มีปัญหาในการใช้งานได้

3. สำหรับวิธีการทางเลือกอื่น นอกเหนือการจำกัดจำนวน Request Range คือการจำกัดความยาวของ HTTP Request Header ให้มีขนาดเหมาะสม เช่น

LimitRequestFieldSize 200

เป็น การจำกัดความยาวของ header ให้ไม่เกิน 200 bytes แต่อาจมีผลกระทบกับ Header อื่นๆ ที่มีขนาดใหญ่ เช่น cookie ได้ หรือยกเลิก Byte Range Request ด้วย mod_headers โดยตั้ง configuration ดังนี้

RequestHeader unset Range

ขอขอบคุณ  ThaiCERT

ที่มา http://www.thaicert.or.th/alerts/corporate/2011/al2011co0001.html

ปรับปรุงข้อมูล : 9/11/2554 15:43:49     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6057

กลุ่มข่าวสาร : ข่าวประกาศ

ข่าวล่าสุด

การถอนการติดตั้งโปรแกรม Adobe Creative Cloud
การถอนการติดตั้งโปรแกรม Adobe Creative Cloud ด้วย Creative Cloud Cleaner tool How and when to use the Creative Cloud Cleaner tool?ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOS ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ Windows)1. ทำการ ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows2. แตกไฟล์ zip คลิ๊กขวาเลือก Run as administrator3. เลือก e แล้วกด Enter4. พิมพ์ y กด Enter5. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) พิมพ์ 1 แล้วกด Enter6.ดูหมายเลข ของ Clean All. ใส่หมายเลขแล้วกด Enter 7.พิมพ์ y กด Enter เพื่อยืนยันการลบโปรแกรม เมื่อเสร็จแล้วกด Enter ออกจากโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud  ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ macOS)ทำการดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOSแตกไฟล์ zip แล้ว Double Click เพื่อติดตั้งโปรแกรม กด Open3. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) กด Clean All4. เมื่อทำการถอนการติตตั้งเสร็จ ปิดโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud 
13 พฤศจิกายน 2566     |      172
โครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน”
คุณธนชาต วิวัฒนภูติ Business Development & Marketing Manager จากบริษัท ลานนาคอม จำกัด ที่ได้มาให้ความรู้โครงการ "ChatGPT กับการเพิ่มประสิทธิภาพการทำงาน" กองเทคโนโลยีดิจทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ ได้ดำเนินการจัดโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” เพื่อเพิ่มประสิทธิภาพในการทำงาน ประยุกต์ใช้ให้ทันโลกแห่งการเปลี่ยนแปลง เรียนรู้วิธีการใช้งาน ChatGPT ให้เป็นประโยชน์ต่อมหาวิทยาลัยแม่โจ้ ในวันพฤหัสบดีที่ 22 มิถุนายน 2566 เวลา 9.00-12.00 น. ผ่านระบบ Webinar MS Teamsเอกสารที่เกี่ยวข้องวิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 1วิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 2
16 กรกฎาคม 2566     |      423