งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

พบช่องโหว่ของซอฟต์แวร์เครื่องแม่ข่ายเว็บ Apache ในเวอร์ชั่น 1.3 และ 2.X ซึ่งข่องโหว่นี้สามารถถูกโจมตีจากผู้อื่นใดๆที่สามารถเรียกใช้บริการเว็บใน ลักษณะ HTTP-based Range [1] ซึ่งจะทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory ที่สูงผิดปกติจนกระทั่งเครื่องแม่ข่ายเว็บไม่สามารถให้บริการต่อไปได้ และเกิดสภาวะหยุดการทำงาน (Denial-of-Service) จากการวิเคราะห์ช่องโหว่ พบว่าสาเหตุของปัญหาน่าจะเกิด 2 สาเหตุ คือ ความบกพร่องในการบริหารจัดการการใช้ทรัพยากรของเครื่องแม่ข่ายของซอฟต์แวร์ Apache เอง และความบกพร่องในส่วนของการออกแบบโปรโตคอล HTTP ที่ยอมรับการ Request ในลักษณะ Byte serving ได้พร้อมๆกันหลายๆช่วงของข้อมูล [2] โดยไม่ได้กำหนดข้อห้ามในการเรียกใช้ช่วงข้อมูลที่มัลักษณะซ้อนทับ (Overlap) กัน ซึ่งเป็นช่องทางให้ผู้ใช้เรียกใช้ซอต์ฟแวร์ Apache เพื่ออ่านข้อมูลพร้อมๆกันหลายครั้งๆได้โดยง่าย จนกระทั่งทรัพยากรในเครื่องแม่ข่ายถูก Process Apache ใช้งานจนหมด

ผลกระทบ

ทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory สูงจนกระทั่งเกิดสภาวะหยุดการทำงาน (Denial-of-Service)

วิธีการแก้ไข

ผู้ดูแลระบบเครื่องแม่ข่ายเว็บ Apache ที่ได้รับผลกระทบจากช่องโหว่นี้ สามารถเลือกวิธีในการแก้ไข/บรรเทาปัญหาได้ตามข้อเสนอต่างๆ [3] ดังนี้

1. ดำเนินการปรับปรุงซอฟต์แวร์ Apache ให้เป็นเวอร์ชั่น 2.2.20 หรือใหม่กว่า

2. หากไม่สามารถปรับปรุงซอฟต์แวร์ให้เป็นเวอร์ชั่นที่ปรับปรุงแก้ไขช่องโหว่นี้ได้แล้ว ให้พิจารณาวิธีการดังต่อไปนี้

2.1. สำหรับ Apache 2.0 และ 2.2 ให้จำกัด Request Range Header ให้มีความยาวไม่เกิน 5 ช่วง โดยสามารถกำหนดค่า Configuration ของซอฟต์แวร์ Apache ดังต่อไปนี้

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range


Configuration นี้ จะปฏิเสธ Request Range Header ที่มีจำนวนมากกว่า 5 ช่วงขึ้นไป โดยระบบจะดำเนินการบันทึก Log ของการ Request นี้ ลงใน [Apache Log Path]/logs/range-CVE-2011-3192.log เพื่อนำข้อมูลไปตรวจสอบดูภายหลังได้ (สามารถแก้ไข path ได้ตามความเหมาะสม)

2.2 สำหรับ Apache 1.3 จำเป็นต้องอาศัยวิธีการจำกัด Request Range Header ให้มีจำนวนไม่เกิน 5 ช่วง ด้วย mod_rewrite โดยใช้ configuration ดังต่อไปนี้

 # Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]


ซึ่งวิธีการทำงานจะคล้ายกับ 2.1 แต่ระบบจะไม่สามารถบันทึก Log ของ Request Range ที่เกิน 5 ช่วงข้อมูลเอาไว้ได้

หมายเหตุ วิธีการจำกัดจำนวน Request Range ที่กำหนดไว้เป็น 5 ช่วง ใน configuration ข้างต้น อาจเปลี่ยนแปลงได้ตามความเหมาะสม เพราะ application บางชนิด เช่น e-book reader หรือ video streaming player อาจมีการใช้งาน http range request ที่ซับซ้อน ซึ่งต้องการการกำหนดค่า range มากกว่า 5 ช่วง หากกำหนดค่า range ไว้ต่ำเกินไป อาจทำให้ application ดังกล่าว มีปัญหาในการใช้งานได้

3. สำหรับวิธีการทางเลือกอื่น นอกเหนือการจำกัดจำนวน Request Range คือการจำกัดความยาวของ HTTP Request Header ให้มีขนาดเหมาะสม เช่น

LimitRequestFieldSize 200

เป็น การจำกัดความยาวของ header ให้ไม่เกิน 200 bytes แต่อาจมีผลกระทบกับ Header อื่นๆ ที่มีขนาดใหญ่ เช่น cookie ได้ หรือยกเลิก Byte Range Request ด้วย mod_headers โดยตั้ง configuration ดังนี้

RequestHeader unset Range

ขอขอบคุณ  ThaiCERT

ที่มา http://www.thaicert.or.th/alerts/corporate/2011/al2011co0001.html

ปรับปรุงข้อมูล : 9/11/2554 15:43:49     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6018

กลุ่มข่าวสาร : ข่าวประกาศ

ข่าวล่าสุด

โครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน”
คุณธนชาต วิวัฒนภูติ Business Development & Marketing Manager จากบริษัท ลานนาคอม จำกัด ที่ได้มาให้ความรู้โครงการ "ChatGPT กับการเพิ่มประสิทธิภาพการทำงาน" กองเทคโนโลยีดิจทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ ได้ดำเนินการจัดโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” เพื่อเพิ่มประสิทธิภาพในการทำงาน ประยุกต์ใช้ให้ทันโลกแห่งการเปลี่ยนแปลง เรียนรู้วิธีการใช้งาน ChatGPT ให้เป็นประโยชน์ต่อมหาวิทยาลัยแม่โจ้ ในวันพฤหัสบดีที่ 22 มิถุนายน 2566 เวลา 9.00-12.00 น. ผ่านระบบ Webinar MS Teamsเอกสารที่เกี่ยวข้องวิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 1วิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 2
16 กรกฎาคม 2566     |      318
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้ • ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น • โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร • ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ • ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้ หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้ 1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้ 2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก 3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา 4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง 5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล 6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors 8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้ มีคำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้ 1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร 2. ตั้งงบประมาณ 3. แต่งตั้งทีมรับผิดชอบ 4. กำหนดประเภทข้อมูลและวัตถุประสงค์ 5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด 6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง 7. พัฒนาทักษะและกระบวนการตรวจสอบ 8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียดได้แบ่งออกเป็น 5 ขั้นตอน คือ 1. Data Discovery ค้นหาและตรวจสอบข้อมูลส่วนบุคคล 2. Privacy Policy กำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล 3. Security Measurement วางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล 4. Data Transfer วางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล 5. DPO แต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล PDPA in Action เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System เอกสารที่เกี่ยวข้องกับ PDPAเอกสารโครงการเตรียมความพร้อมรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) วันอังคารที่ 26 เมษายน 2565 วิดีโอโครงการฝึกอบรม “ความรู้ ความเข้าใจ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” วันศุกร์ ที่ 19 พฤษภาคม พ.ศ. 2566เอกสารอ้างอิงของมหาวิทยาลัยแม่โจ้คำสั่งแต่งตั้งคณะทำงานเพื่อศึกษาและวางแนวนโยบายในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562ประกาศมหาวิทยาลัยแม่โจ้ เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคลCookies-Policy - MJUข้อตกลงการประมวลผลข้อมูลส่วนบุคคล - MJUคำประกาศเกี่ยวกับความเป็นส่วนตัว-Privacy-Notice-MJUนโยบายการคุ้มครองข้อมูลส่วนบุคคล-Privacy-Policy - MJUแนวปฎิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล - MJUบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ-MJUเอกสารแสดงความยินยอม-Consent-Form - MJU
22 พฤษภาคม 2566     |      856