งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

พบช่องโหว่ของซอฟต์แวร์เครื่องแม่ข่ายเว็บ Apache ในเวอร์ชั่น 1.3 และ 2.X ซึ่งข่องโหว่นี้สามารถถูกโจมตีจากผู้อื่นใดๆที่สามารถเรียกใช้บริการเว็บใน ลักษณะ HTTP-based Range [1] ซึ่งจะทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory ที่สูงผิดปกติจนกระทั่งเครื่องแม่ข่ายเว็บไม่สามารถให้บริการต่อไปได้ และเกิดสภาวะหยุดการทำงาน (Denial-of-Service) จากการวิเคราะห์ช่องโหว่ พบว่าสาเหตุของปัญหาน่าจะเกิด 2 สาเหตุ คือ ความบกพร่องในการบริหารจัดการการใช้ทรัพยากรของเครื่องแม่ข่ายของซอฟต์แวร์ Apache เอง และความบกพร่องในส่วนของการออกแบบโปรโตคอล HTTP ที่ยอมรับการ Request ในลักษณะ Byte serving ได้พร้อมๆกันหลายๆช่วงของข้อมูล [2] โดยไม่ได้กำหนดข้อห้ามในการเรียกใช้ช่วงข้อมูลที่มัลักษณะซ้อนทับ (Overlap) กัน ซึ่งเป็นช่องทางให้ผู้ใช้เรียกใช้ซอต์ฟแวร์ Apache เพื่ออ่านข้อมูลพร้อมๆกันหลายครั้งๆได้โดยง่าย จนกระทั่งทรัพยากรในเครื่องแม่ข่ายถูก Process Apache ใช้งานจนหมด

ผลกระทบ

ทำให้เครื่องแม่ข่ายเกิดการใช้งาน CPU และ Memory สูงจนกระทั่งเกิดสภาวะหยุดการทำงาน (Denial-of-Service)

วิธีการแก้ไข

ผู้ดูแลระบบเครื่องแม่ข่ายเว็บ Apache ที่ได้รับผลกระทบจากช่องโหว่นี้ สามารถเลือกวิธีในการแก้ไข/บรรเทาปัญหาได้ตามข้อเสนอต่างๆ [3] ดังนี้

1. ดำเนินการปรับปรุงซอฟต์แวร์ Apache ให้เป็นเวอร์ชั่น 2.2.20 หรือใหม่กว่า

2. หากไม่สามารถปรับปรุงซอฟต์แวร์ให้เป็นเวอร์ชั่นที่ปรับปรุงแก้ไขช่องโหว่นี้ได้แล้ว ให้พิจารณาวิธีการดังต่อไปนี้

2.1. สำหรับ Apache 2.0 และ 2.2 ให้จำกัด Request Range Header ให้มีความยาวไม่เกิน 5 ช่วง โดยสามารถกำหนดค่า Configuration ของซอฟต์แวร์ Apache ดังต่อไปนี้

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range


Configuration นี้ จะปฏิเสธ Request Range Header ที่มีจำนวนมากกว่า 5 ช่วงขึ้นไป โดยระบบจะดำเนินการบันทึก Log ของการ Request นี้ ลงใน [Apache Log Path]/logs/range-CVE-2011-3192.log เพื่อนำข้อมูลไปตรวจสอบดูภายหลังได้ (สามารถแก้ไข path ได้ตามความเหมาะสม)

2.2 สำหรับ Apache 1.3 จำเป็นต้องอาศัยวิธีการจำกัด Request Range Header ให้มีจำนวนไม่เกิน 5 ช่วง ด้วย mod_rewrite โดยใช้ configuration ดังต่อไปนี้

 # Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]


ซึ่งวิธีการทำงานจะคล้ายกับ 2.1 แต่ระบบจะไม่สามารถบันทึก Log ของ Request Range ที่เกิน 5 ช่วงข้อมูลเอาไว้ได้

หมายเหตุ วิธีการจำกัดจำนวน Request Range ที่กำหนดไว้เป็น 5 ช่วง ใน configuration ข้างต้น อาจเปลี่ยนแปลงได้ตามความเหมาะสม เพราะ application บางชนิด เช่น e-book reader หรือ video streaming player อาจมีการใช้งาน http range request ที่ซับซ้อน ซึ่งต้องการการกำหนดค่า range มากกว่า 5 ช่วง หากกำหนดค่า range ไว้ต่ำเกินไป อาจทำให้ application ดังกล่าว มีปัญหาในการใช้งานได้

3. สำหรับวิธีการทางเลือกอื่น นอกเหนือการจำกัดจำนวน Request Range คือการจำกัดความยาวของ HTTP Request Header ให้มีขนาดเหมาะสม เช่น

LimitRequestFieldSize 200

เป็น การจำกัดความยาวของ header ให้ไม่เกิน 200 bytes แต่อาจมีผลกระทบกับ Header อื่นๆ ที่มีขนาดใหญ่ เช่น cookie ได้ หรือยกเลิก Byte Range Request ด้วย mod_headers โดยตั้ง configuration ดังนี้

RequestHeader unset Range

ขอขอบคุณ  ThaiCERT

ที่มา http://www.thaicert.or.th/alerts/corporate/2011/al2011co0001.html

ปรับปรุงข้อมูล : 9/11/2554 15:43:49     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 6311

กลุ่มข่าวสาร : ข่าวประกาศ

ข่าวล่าสุด

วิธีการเปลี่ยนการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator
วิธีการเปลี่ยนการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticatorเครื่องมือที่ใช้ในการยืนยันตัวตน Multi-Factor Authentication (MFA) เป็นวิธีการในการยืนยันตัวตน โดยใช้การยืนยันตัวตนหลายอย่าง เพื่อให้เกิดความปลอดภัยมากยิ่งขึ้น โดยไม่ต้องผูกกับหมายเลขโทรศัพท์ ทำให้สะดวกในการใช้งานและมีความปลอดภัยมากขึ้น1. เข้า Email มหาวิทยาลัยแม่โจ้ https://www.office.comทำการลงชื่อผู้ใช้งานให้เรียบร้อย แล้วกดที่ Profile มุมขวาบน แล้วเลือก View account2. เลือก Security info3. ทำการลบ Sign-in method ที่ไม่จำเป็นออก เมื่อลบแล้วให้กด Add sign-in method4. เลือก Authenticator app กด Add5. ระบบจะแนะนำให้ผู้ใช้งานทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือ แล้วกด Next  ** ผู้ใช้งานสามารถเลือกติดตั้งได้ ตามระบบปฏิบัติการโทรศัพท์มือถือที่ใช้งานทั้ง Android และ iOS6. เมื่อทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือแล้ว กด Next7. เปิดโปรแกรม Microsoft Authenticator app ในโทรศัพท์มือถือ กดเพิ่มเครื่องหมาย +8. เลือก Work or school account แล้วเลือก Scan QR Code9. ทำการ Scan QR code ที่ปรากฎในหน้าจอ**หากไม่สามารถ Scan QR code ได้เนื่องจาก QR code หมดอายุ ให้คลิ๊ก Back แล้วกด Next เพื่อให้ QR Code แสดงใหม่แล้วทำการ Scan ใหม่อีกครั้ง10. เมื่อ Scan QR code บนโทรศัพท์มือถือสำเร็จ จะปรากฎชื่อบัญชีที่ตั้งค่าใน Microsoft Authenticator app และจะปรากฎชุดตัวเลข บนหน้าจอ11. ทำการกรอกตัวเลขไปยัง Microsoft Authenticator app บนโทรศัพท์มือถือ เพื่อยืนยันตัวตน แล้วกด Yes12. กด Next13. Microsoft Authenticator app ทำการยืนยันตัวตนสำเร็จแล้ว กด Done14. การยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator สำเร็จแล้ว สามารถเลือกวิธีการยืนยันตัวตนได้ โดยกด Change15. ค่าเริ่มต้นการยืนยันตัวตนโดยใช้ MFA Microsoft Authenticator คือ App based authentication - notification
17 กุมภาพันธ์ 2567     |      2559
การเปิดใช้งาน MFA Microsoft Authenticator
การเปิดใช้งาน MFA Microsoft Authenticatorเข้าใช้งานเว็บไซต์ https://www.office.com ทำการลงชื่อผู้ใช้งาน Sign in2. Login โดยใช้ username @mju.ac.th แล้วกด Next3. ใส่รหัสผ่าน Email แล้วกด Sign in4. กด Next เพื่อเข้าใช้งาน5. ระบบจะแนะนำให้ผู้ใช้งานทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือ แล้วกด Next  ** ผู้ใช้งานสามารถเลือกติดตั้งได้ ตามระบบปฏิบัติการโทรศัพท์มือถือที่ใช้งานทั้ง Android และ iOS6. เมื่อทำการติดตั้งโปรแกรม Microsoft Authenticator app ผ่านระบบมือถือแล้ว กด Next7. เปิดโปรแกรม Microsoft Authenticator app ในโทรศัพท์มือถือ กดเพิ่มเครื่องหมาย +8. เลือก Work or school account แล้วเลือก Scan QR Code9. ทำการ Scan QR code ที่ปรากฎในหน้าจอ**หากไม่สามารถ Scan QR code ได้เนื่องจาก QR code หมดอายุ ให้คลิ๊ก Back แล้วกด Next เพื่อให้ QR Code แสดงใหม่แล้วทำการ Scan ใหม่อีกครั้ง10. เมื่อ Scan QR code บนโทรศัพท์มือถือสำเร็จ จะปรากฎชื่อบัญชีที่ตั้งค่าใน Microsoft Authenticator app และจะปรากฎชุดตัวเลข บนหน้าจอ11. ทำการกรอกตัวเลขไปยัง Microsoft Authenticator app บนโทรศัพท์มือถือ เพื่อยืนยันตัวตน แล้วกด Yes12. กด Next13. Microsoft Authenticator app ทำการยืนยันตัวตนสำเร็จแล้ว กด Done14. เข้าใช้งาน MS365 ผ่านเว็บ Browser ได้
15 กุมภาพันธ์ 2567     |      6081
การถอนการติดตั้งโปรแกรม Adobe Creative Cloud
การถอนการติดตั้งโปรแกรม Adobe Creative Cloud ด้วย Creative Cloud Cleaner tool How and when to use the Creative Cloud Cleaner tool?ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOS ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ Windows)1. ทำการ ดาวน์โหลด Creative Cloud Cleaner tool สำหรับ Windows2. แตกไฟล์ zip คลิ๊กขวาเลือก Run as administrator3. เลือก e แล้วกด Enter4. พิมพ์ y กด Enter5. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) พิมพ์ 1 แล้วกด Enter6.ดูหมายเลข ของ Clean All. ใส่หมายเลขแล้วกด Enter 7.พิมพ์ y กด Enter เพื่อยืนยันการลบโปรแกรม เมื่อเสร็จแล้วกด Enter ออกจากโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud  ขั้นตอนการถอนการติดตั้งโปรแกรม Adobe Creative Cloud (ระบบปฏิบัติการ macOS)ทำการดาวน์โหลด Creative Cloud Cleaner tool สำหรับ macOSแตกไฟล์ zip แล้ว Double Click เพื่อติดตั้งโปรแกรม กด Open3. เลือกโปรแกรมที่ต้องการจะลบ เลือกลบทั้งหมด (All) กด Clean All4. เมื่อทำการถอนการติตตั้งเสร็จ ปิดโปรแกรม แล้ว Restart เครื่องคอมพิวเตอร์ เป็นการเสร็จสิ้นขั้นตอนการลบโปรแกรม Adobe Creative Cloud 
13 พฤศจิกายน 2566     |      7511