เราได้รับแจ้งปัญหาเกี่ยวกับ Server Management Tool ชื่อดัง myLittleAdmin ซึ่งนิยมติดตั้งอย่างแพร่หลายบน Windows Server มีช่องโหว่ในส่วน machineKey อนุญาติให้ Hacker สามารถรันคำสั่งระยะไกลด้วยสิทธิ์ sqladmin ได้
Version ที่ได้รับผลกระทบ
MyLittleAdmin 3.8 เทียบเท่าหรือต่ำกว่าทั้งหมด
สถานะ Security Patach
ยังไม่มีแนวทางการแก้ไขเปิดใช้งาน IIS > Machine Keys > Generate new Key > Apply
Run: IISreset
หรือถอนการใช้งานของ MyLittleAdmin ออกทันทีจนกว่าจะมี Patch ออกแก้ไข ระหว่างนี้ให้เปลี่ยนไปใช้งาน SQL Server Management Studio (SSMS) ชั่วคราว
ที่มา : ssd-disclosure.com
