ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

5 ข่าว

Apache HTTP Server 2.4.68 ออกแพตช์ — แก้ 13 ช่องโหว่ Use-After-Free, DoS, XSS, Buffer Overflow กระทบทุกเวอร์ชันก่อนหน้า

Apache HTTP Server 2.4.68 patches 13 vulnerabilities use-after-free DoS XSS buffer overflow
บริษัท Apache Software Foundation ปล่อย Apache HTTP Server เวอร์ชัน 2.4.68 เมื่อ 8 มิถุนายน 2569 แก้ 13 ช่องโหว่ครอบคลุมหลายโมดูล ทั้ง use-after-free 2 ตัวใน mod_ldap และ mod_http2, XSS ใน mod_proxy_ftp, heap overflow 4 ตัว และ DoS ที่หมดหน่วยความจำผ่าน HTTP/2 กระทบทุกเวอร์ชันตั้งแต่ 2.4.0 ถึง 2.4.67 ผู้ดูแลควรอัปเกรดทันทีเพราะส่วนใหญ่ไม่มี workaround

CVE-2026-28318 — CISA เพิ่มช่องโหว่ DoS ใน SolarWinds Serv-U เข้า KEV หลังพบโจมตีจริง

CISA adds SolarWinds Serv-U CVE-2026-28318 to KEV
CISA เพิ่ม CVE-2026-28318 ช่องโหว่ denial-of-service ระดับสูงใน SolarWinds Serv-U เข้าแคตตาล็อก Known Exploited Vulnerabilities หลังพบหลักฐานการโจมตีจริง ช่องโหว่ CVSS 7.5 เกิดจาก POST request ที่สร้างขึ้นพิเศษพร้อม Content-Encoding: deflate ทำให้บริการล่มโดยไม่ต้องยืนยันตัวตน SolarWinds แก้แล้วในเวอร์ชัน 15.5.4 HF1 หน่วยงานรัฐสหรัฐฯ ต้องแก้ไขภายใน 19 มิถุนายน 2026 ที่ผ่านมา Serv-U เคยถูกกลุ่ม Cl0p โจมตีมาแล้ว

ComoDoS — ช่องโหว่ 0-Day ใน Comodo Internet Security ส่ง IPv6 แพ็กเก็ตเดียวทำ Windows จอฟ้า ยังไม่มีแพตช์

Comodo Internet Security ComoDoS zero-day lets attacker crash Windows system
นาย Marcus Hutchins เปิดเผยช่องโหว่ 0-day ที่ยังไม่มีแพตช์ในไดรเวอร์ firewall ของ Comodo Internet Security ชื่อ Inspect.sys ตั้งชื่อว่า ComoDoS เปิดให้ผู้โจมตีระยะไกลทำให้ Windows เป้าหมายจอฟ้า (BSOD) ได้ด้วย IPv6 แพ็กเก็ตผิดรูปเพียงแพ็กเก็ตเดียว ข้ามกฎ firewall ทั้งหมด ต้นเหตุคือ integer underflow ในการแยก IPv6 extension header ที่ไม่ตรวจสอบ payload length ทำให้ค่า unsigned 64-bit วนกลับเป็น ~18.4 ล้านล้านล้าน Comodo ไม่ตอบกลับหลายครั้ง PoC เผยแพร่บน GitHub แล้ว

HTTP/2 Bomb — เทคนิค DoS ใหม่ ล่มเว็บเซิร์ฟเวอร์ในไม่ถึงนาที จากเครื่องเดียว กระทบ NGINX, Apache, IIS

New HTTP/2 Bomb DoS attack crashes web servers in under a minute
นักวิจัยจากบริษัท Calif (ค้นพบโดย Codex software agent ของ OpenAI) เปิดเผยเทคนิค DoS ใหม่ชื่อ HTTP/2 Bomb ที่ล่มเว็บเซิร์ฟเวอร์ได้จากเครื่องเดียวในไม่กี่วินาที กระทบค่าตั้งเริ่มต้น HTTP/2 ของ NGINX, Apache, Microsoft IIS, Envoy และ Cloudflare Pingora เทคนิคผสาน HPACK compression amplification กับ Slowloris-style ผ่าน flow-control ทำให้ 1 byte ขยายเป็นหลายพัน byte เครื่องบ้าน 100Mbps ดูด RAM 32GB ใน 10–20 วินาที แก้แล้วใน nginx 1.29.8 และ Apache (CVE-2026-49975)

GitLab ออกแพตช์ฉุกเฉินแก้หลายช่องโหว่ Duo AI, DoS และ Authorization — บั๊กร้ายสุดเปิดให้รัน workflow ในชื่อผู้ใช้คนอื่น

GitLab security patch Duo AI workflow access control vulnerability
GitLab ออกแพตช์ความปลอดภัยฉุกเฉินทั้ง Community และ Enterprise Edition แก้หลายช่องโหว่ใน Duo AI, DoS และ authorization โดยปล่อยเวอร์ชัน 19.0.1, 18.11.4 และ 18.10.7 เมื่อ 27 พฤษภาคม 2569 ช่องโหว่ร้ายแรงสุดคือ CVE-2026-4868 (CVSS 8.2) ใน Duo AI workflow runner ที่เปิดให้ผู้ใช้ที่ล็อกอินสั่ง workflow ทำงานในชื่อผู้ใช้คนอื่น นำสู่การเคลื่อนตัวด้านข้างและใช้สิทธิ์ในทางที่ผิด GitLab เร่งให้แอดมินอัปเกรดทันที