ตรวจพบช่องโหว่ด้านความปลอดภัยบน myLittleAdmin

เราได้รับแจ้งปัญหาเกี่ยวกับ Server Management Tool ชื่อดัง myLittleAdmin ซึ่งนิยมติดตั้งอย่างแพร่หลายบน Windows Server มีช่องโหว่ในส่วน machineKey อนุญาติให้ Hacker สามารถรันคำสั่งระยะไกลด้วยสิทธิ์ sqladmin ได้

อ้างอิง
https://ssd-disclosure.com/ssd-advisory-mylittleadmin-preauth-rce/

Version ที่ได้รับผลกระทบ
MyLittleAdmin 3.8 เทียบเท่าหรือต่ำกว่าทั้งหมด

สถานะ Security Patach
ยังไม่มีแนวทางการแก้ไขเปิดใช้งาน IIS > Machine Keys > Generate new Key > Apply
Run: IISreset

หรือถอนการใช้งานของ MyLittleAdmin ออกทันทีจนกว่าจะมี Patch ออกแก้ไข ระหว่างนี้ให้เปลี่ยนไปใช้งาน SQL Server Management Studio (SSMS) ชั่วคราว