งานระบบเครือข่ายและบริการอินเทอร์เน็ต
Networking Systems and Internet Services

ข้อมูลทั่วไป 

ผู้เชี่ยวชาญได้แจ้งเตือนช่องโหว่ของ Linux Kernel ซึ่งอนุญาตให้ผู้โจมตีสามารถแก้ไขข้อมูลในหน่วยความจำของ Process เพื่อให้ได้รับสิทธิของ root ได้ (CVE-2012-0056)  โดยปกติแล้วระบบปฏิบัติการ Linux จะใช้ไฟล์ /proc/ /mem เพื่ออ้างอิงถึงข้อมูลที่อยู่ในหน่วยความจำของแต่ละ Process ซึ่งไฟล์ดังกล่าวนี้ระบบจะอนุญาตให้เฉพาะ Process ที่เกี่ยวข้องมีสิทธิในการแก้ไข แต่หลังจาก Linux Kernel เวอร์ชัน 2.6.39 เป็นต้นมา (เผยแพร่เมื่อวันที่ 18 พฤษภาคม 2554) ฟังก์ชันที่ใช้สำหรับการป้องกันไม่ให้ Process ใดๆ เข้าไปแก้ไขข้อมูลในหน่วยความจำของ Process อื่นได้ถูกนำออกไป  นักวิจัยที่ค้นพบช่องโหว่นี้ได้พัฒนาซอฟต์แวร์เพื่อใช้ในการทดสอบสมมุติฐาน (Proof of Concept) ว่าช่องโหว่ดังกล่าวสามารถทำงานได้จริง โดยได้พัฒนาโปรแกรมเพื่อเข้าไปแก้ไขข้อมูลในหน่วยความจำของ Process su (Super User) เพื่อให้ผู้ใช้ทั่วไปได้รับสิทธิของ root นอกจากนี้ยังพบว่าช่องโหว่ดังกล่าวมีผลกับอุปกรณ์ที่ติดตั้งระบบปฏิบัติการ Android เวอร์ชัน 4.0 อีกด้วย

ผลกระทบ 

ผู้ใช้งานระบบปฏิบัติการ Linux ที่ติดตั้ง Kernel เวอร์ชัน 2.6.39 ถึง 3.2.1 มีความเสี่ยงที่จะถูกโจมตีจากผู้ไม่หวังดีเพื่อครอบครองสิทธิการเป็น root ของระบบได้ ตัวอย่างวีดีโอการโจมตีสามารถดูได้จาก http://www.youtube.com/watch?v=OKnth3R9nI4

เนื่องจากระบบปฏิบัติการ Android ถูกพัฒนาโดยใช้พื้นฐานจากระบบปฏิบัติการ Linux ทำให้ระบบปฏิบัติการ Android เวอร์ชัน 4.0 ซึ่งใช้ Linux Kernel เวอร์ชัน 3 ได้รับผลกระทบไปด้วย โดยอาจมีผู้พัฒนาซอฟต์แวร์เพื่อให้ได้รับสิทธิเป็นของ root ของระบบได้

ระบบที่ได้รับผลกระทบ

  • ระบบปฏิบัติการ Linux ที่ติดตั้ง Kernel ตั้งแต่เวอร์ชัน 2.6.39 ถึง 3.2.1 เช่น
    • Ubuntu 11.10
    • Red Hat Enterprise Linux 6
    • Fedora 16
    • openSUSE 12.1
    • Debian wheezy (รุ่นทดสอบของเวอร์ชัน 7)
  • อุปกรณ์ที่ติดตั้งระบบปฏิบัติการ Android เวอร์ชัน 4.0 เช่น Galaxy Nexus, Galaxy S และ Transformer Prime เป็นต้น

วิธีการตรวจสอบเวอร์ชันของ Kernel

1. หากผู้ใช้งานระบบปฏิบัติการ Linux ต้องการตรวจสอบเวอร์ชั่นของ Kernel ที่มากับ Distribution ที่ตนเองใช้อยู่ว่าได้รับผลกระทบหรือไม่ สามารถตรวจสอบได้ด้วยการเข้าไปที่เว็บไซต์ http://www.distrowatch.com เลือก Distribution ที่ต้องการตรวจสอบ จากนั้นดูในส่วนของ Package ที่ชื่อ linux ตัวอย่างการตรวจสอบเวอร์ชันของ Kernel ของระบบปฏิบัติการ Fedora 16 พบว่าใช้ Kernel เวอร์ชัน 3.1 ดังรูปที่ 1

 

รูปที่ 1 ตัวอย่างการตรวจสอบเวอร์ชันของ Kernel ของระบบปฏิบัติการ Fedora


2. สำหรับการตรวจสอบเวอร์ชันของ Kernel ที่ใช้งานอยู่ในปัจจุบัน เนื่องจากวิธีการตรวจสอบเวอร์ชันของ Kernel ของระบบปฏิบัติการ Linux นั้นอาจแตกต่างกันไปตามแต่ละ Distribution ผู้ใช้งานระบบปฏิบัติการ Linux สามารถตรวจสอบเวอร์ชันของ Kernel ที่ตนเองใช้อยู่ได้ตามวิธีในเว็บไซต์ CyberCiti.biz ตัวอย่างการตรวจสอบเวอร์ชันของ Kernel ของระบบปฏิบัติการ Ubuntu เป็นดังรูปที่ 2

 

รูปที่ 2 ตัวอย่างการตรวจสอบเวอร์ชันของ Kernel ของระบบปฏิบัติการ Ubuntu

ข้อแนะนำในการป้องกันและแก้ไข 

ทาง Kernel.org ได้ปรับปรุงแก้ไขช่องโหว่ดังกล่าวเมื่อวันที่ 17 มกราคม 2555  และการแก้ไขนี้จะมีผลตั้งแต่ Linux Kernel 3.2.2 เป็นต้นไป  ทางผู้พัฒนาระบบปฏิบัติการ Linux Distribution ต่างๆ เช่น Ubuntu, Debian หรือ Red Hat ได้นำ Patch จาก Kernel.org ไปปรับปรุงใน Kernel ของตนเอง และได้ทำการเผยแพร่ Kernel เวอร์ชันใหม่ที่แก้ไขปัญหาดังกล่าว ผ่านช่องทางการอัพเดทของแต่ละ Distribution แล้ว  ซึ่งเวอร์ชันของ Kernel ที่ถูกปรับปรุงช่องโหว่ดังกล่าวอาจแตกต่างกันไปตามแต่ละ Distribution ผู้ใช้งานควรตรวจสอบการอัพเดทและปรับปรุงระบบให้เป็น Kernel เวอร์ชันที่ถูกปรับปรุงหลังจากวันที่ 17 มกราคม 2555 โดยเร็วที่สุด

ที่มา ThaiCert

ปรับปรุงข้อมูล : 1/1/2557 0:00:00     ที่มา : งานระบบเครือข่ายและบริการอินเทอร์เน็ต     จำนวนผู้เปิดอ่าน : 9346

กลุ่มข่าวสาร : ข่าวกิจกรรม

ข่าวล่าสุด

โครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน”
คุณธนชาต วิวัฒนภูติ Business Development & Marketing Manager จากบริษัท ลานนาคอม จำกัด ที่ได้มาให้ความรู้โครงการ "ChatGPT กับการเพิ่มประสิทธิภาพการทำงาน" กองเทคโนโลยีดิจทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ ได้ดำเนินการจัดโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” เพื่อเพิ่มประสิทธิภาพในการทำงาน ประยุกต์ใช้ให้ทันโลกแห่งการเปลี่ยนแปลง เรียนรู้วิธีการใช้งาน ChatGPT ให้เป็นประโยชน์ต่อมหาวิทยาลัยแม่โจ้ ในวันพฤหัสบดีที่ 22 มิถุนายน 2566 เวลา 9.00-12.00 น. ผ่านระบบ Webinar MS Teamsเอกสารที่เกี่ยวข้องวิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 1วิดีโอโครงการสัมมนา“ChatGPT กับการเพิ่มประสิทธิภาพการทํางาน” ช่วงที่ 2
16 กรกฎาคม 2566     |      317
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
หนึ่งในปัญหาสำคัญที่นำไปสู่การออกกฎหมาย PDPA คือ การที่ข้อมูลส่วนบุคคลรั่วไหลสู่สาธารณะ โดยเฉพาะในปัจจุบันที่ข้อมูลต่างๆ ถูกแปลงให้อยู่ในรูปดิจิทัลมากขึ้น ซึ่งข้อมูลส่วนบุคคลสามารถหลุดออกไปได้หลากหลายช่องทางโดยบางครั้งเจ้าของข้อมูลก็ไม่รู้ตัว เช่น การโพสต์ข้อมูลส่วนบุคคลลงสื่อสังคมออนไลน์ การใช้บริการแอปพลิเคชันต่างๆ แล้วกดตกลงให้ความยินยอมในการให้ข้อมูลเองโดยไม่อ่านรายละเอียด การโดนแฮ็กหรือเจาะขโมยข้อมูล การถูกหลอกลวงด้วยวิธีต่างๆ เช่น Phishing เป็นต้น การรั่วไหลหรือขโมยข้อมูลส่วนบุคคลอาจนำไปสู่ความเสียหายดังต่อไปนี้ • ถูกนำไปใช้ในทางผิดกฎหมาย เช่น เลขบัตรประชาชนถูกนำไปใช้เปิดบัญชีเพื่อฉ้อโกงผู้อื่น คลิปส่วนตัวถูกข่มขู่แบล็กเมล เป็นต้น • โดนจารกรรมทางการเงิน ไม่ว่าจะเป็นการใช้หมายเลขบัตรเครดิตไปซื้อสินค้า หรือโอนเงินจากบัญชีธนาคาร • ถูกนำไปทำการตลาดต่อ ส่งผลให้เจ้าของข้อมูลถูกรบกวนด้วยโฆษณา ขายสินค้าและบริการต่างๆ • ถูกปลอมแปลงตัวตน แล้วเอาไปแอบอ้างทำเรื่องเสียหายหรือผิดกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลของประชาชนไทย ไม่ว่าจะเป็น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ บัญชีผู้ใช้ของเว็บไซต์ ลายนิ้วมือ ประวัติสุขภาพ รวมไปถึงข้อมูลอื่นๆ ที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ ทั้งในรูปแบบเอกสาร กระดาษ หนังสือ หรืออิเล็กทรอนิกส์ กฎหมาย PDPA จึงถูกพัฒนาและเตรียมบังคับใช้งานอย่างเต็มรูปแบบในวันที่ 1 มิถุนายน 2022 นี้ หลักสำคัญของกฎหมาย PDPA สามารถสรุปได้เป็น 6 ประเด็น ดังนี้ 1. เจ้าของข้อมูลมีสิทธิ์ลบ เพิ่ม ห้าม แก้ไข และเข้าถึงข้อมูลส่วนบุคคลของตัวเองได้ 2. ต้องให้ความสะดวกในการขอเพิกถอนสิทธิ เช่นเดียวกับตอนที่ขอข้อมูลมาจากเจ้าของข้อมูลในตอนแรก 3. เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็น ตามวัตถุประสงค์ในการขอข้อมูลมา 4. เมื่อพบข้อมูลรั่วไหล ต้องแจ้งเจ้าของข้อมูลและผู้ที่เกี่ยวข้องทั้งหมดภายใน 72 ชั่วโมง 5. ต้องมีผู้ดูแล รับผิดชอบ และควบคุมข้อมูลส่วนบุคคล 6. โทษปรับสูงสุดไม่เกิน 5,000,000 บาท โดยอาจมีความผิดทั้งทางอาญาและทางแพ่ง ไม่ว่าจะเป็น Data Controllers หรือ Data Processors 8 ขั้นตอนการเตรียมความพร้อมขององค์กรก่อน PDPA ประกาศใช้ มีคำแนะนำสำหรับการเตรียมความพร้อมขององค์กรในภาพใหญ่ 8 ข้อ ดังนี้ 1. ทำความเข้าใจว่ากฎหมาย PDPA คืออะไร 2. ตั้งงบประมาณ 3. แต่งตั้งทีมรับผิดชอบ 4. กำหนดประเภทข้อมูลและวัตถุประสงค์ 5. เตรียมข้อกำหนด แนวทางปฏิบัติในการปกป้องข้อมูลตามที่กฎหมายกำหนด 6. สร้างความตระหนักรู้ให้กับเจ้าของข้อมูลและประชาสัมพันธ์ให้กับบุคลากรที่เกี่ยวข้อง 7. พัฒนาทักษะและกระบวนการตรวจสอบ 8. ปรับปรุงกระบวนการและออกแบบให้เหมาะสมกับการคุ้มครองข้อมูงส่วนบุคคลอยู่เสมอ สำหรับขั้นตอนในการรับมือกฎหมาย PDPA โดยละเอียดได้แบ่งออกเป็น 5 ขั้นตอน คือ 1. Data Discovery ค้นหาและตรวจสอบข้อมูลส่วนบุคคล 2. Privacy Policy กำหนดการใช้หรือการประมวลผลข้อมูลส่วนบุคคล 3. Security Measurement วางมาตรการด้านความมั่นคงปลอดภัยสำหรับปกป้องข้อมูลส่วนบุคคล 4. Data Transfer วางระบบการบริหารจัดการ การส่ง หรือเปิดเผยข้อมูลส่วนบุคคล 5. DPO แต่งตั้งผู้กำกับดูแลข้อมูลส่วนบุคคล PDPA in Action เมื่อนำกฎหมาย PDPA มาแปลงให้อยู่ในระบบสารสนเทศ จะประกอบด้วย 3 ส่วนหลัก คือ Data Subject Request, Front-end (DPO) และ Back-end System เอกสารที่เกี่ยวข้องกับ PDPAเอกสารโครงการเตรียมความพร้อมรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) วันอังคารที่ 26 เมษายน 2565 วิดีโอโครงการฝึกอบรม “ความรู้ ความเข้าใจ เกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” วันศุกร์ ที่ 19 พฤษภาคม พ.ศ. 2566เอกสารอ้างอิงของมหาวิทยาลัยแม่โจ้คำสั่งแต่งตั้งคณะทำงานเพื่อศึกษาและวางแนวนโยบายในการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562ประกาศมหาวิทยาลัยแม่โจ้ เรื่องนโยบายคุ้มครองข้อมูลส่วนบุคคลCookies-Policy - MJUข้อตกลงการประมวลผลข้อมูลส่วนบุคคล - MJUคำประกาศเกี่ยวกับความเป็นส่วนตัว-Privacy-Notice-MJUนโยบายการคุ้มครองข้อมูลส่วนบุคคล-Privacy-Policy - MJUแนวปฎิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคล - MJUบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ-MJUเอกสารแสดงความยินยอม-Consent-Form - MJU
22 พฤษภาคม 2566     |      855