แจ้งเตือน ไลบรารี log4j มีช่องโหว่รันโค้ด หาก log ข้อมูลจากผู้ใช้โดยตรง ควรปิดช่องโหว่ทันที

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

ช่องโหว่นี้เกิดจากความสามารถในการดึงข้อมูลจากภายนอกมาเขียน log (message lookup) คนร้ายจะใส่ข้อมูลกระตุ้นให้ log4j ดึงข้อมูลผ่านโปรโตคอล JNDI (Java Naming and Directory Interface) จากเซิร์ฟเวอร์ที่คนร้ายกำหนด จากนั้นคนร้ายจะส่ง java class รันโค้ดเข้าไปยัง log4j เพื่อรันโค้ดในสิทธิ์ระดับเดียวกับตัวแอปพลิเคชั่นได้

ในจาวาตั้งแต่ปี 2018 เป็นต้นมา (6u211, 7u201, 8u191, และ 11.0.1) การตั้งค่าเริ่มต้นของ JNDI ในจาวาปิดไม่ให้รันโค้ดจากภายนอกแล้ว แต่ฟีเจอร์นี้ของ log4j ก็ยังเปิดทางให้คนร้ายโจมตีได้อยู่ดี ขึ้นกับว่าในแอปพลิเคชั่นมีไลบรารีอะไรอยู่บ้าง

ทาง log4j ออกอัพเดตเวอร์ชั่น 2.15 มาแก้ช่องโหว่นี้แล้ว และหากยังไม่สามารถอัพเดตได้ก็สามารถตั้งค่า formatMsgNoLookups=true ไปชั่วคราว หรือหากไม่ได้ใช้ฟีเจอร์ lookup อยู่แล้วเปิดทิ้งไว้เลยก็ได้เช่นกัน

ที่มา: Blognone

แจ้งเตือน รายงานช่องโหว่ Grafana ออกสู่สาธารณะ แฮกเกอร์อ่านไฟล์ในเครื่องได้

ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆ ในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน

ตอนนี้ Grafana ออกแพตช์ฉุกเฉินเป็นเวอร์ชั่น 8.3.1, 8.2.7, และ 8.0.7 โดย 8.1.8 ยังต้องรอก่อน แต่หากไม่พร้อมแพตช์สามารถใช้ฟีเจอร์ normalize_path ใน reverse proxy เพื่อลดความเสี่ยงได้

ที่มา: Blognone

Django ออกเวอร์ชั่น 4.0 ใช้กับ Python 3.8 ขึ้นไป รองรับแคชด้วย Redis ในตัว

Django เว็บเฟรมเวิร์คยอดนิยมภาษา Python ประกาศออกเวอร์ชั่น 4.0 แม้ฟีเจอร์หลักๆ จะเปลี่ยนแปลงไม่มากนัก แต่การออกเวอร์ชั่นใหม่ก็ทำให้ตัดฟีเจอร์เก่าๆ ไปหลายตัวตามหลัก Semantic Versioning

ส่วนใหม่ๆ ใน Django 4.0 เช่น

• ระบบ timezone เปลี่ยนจาก pytz มาใช้ไลบรารีมาตรฐาน zoneinfo (เพิ่มเข้า Python ใน Python 3.9)
• เงื่อนไข UniqueConstraint ในฐานข้อมูลสามารถกำหนดฟังก์ชั่นสำหรับแต่ละฟิลด์
• รองรับการแฮชรหัสผ่านแบบ scrypt
• รองรับการแคชข้อมูลด้วย Redis เพิ่มจาก memcache
• ฟอร์มต่างๆ ใช้เอนจิน template เรนเดอร์ทำให้ปรับแต่งได้ง่ายขึ้น

ส่วนฟีเจอร์ที่ถูกตัดออกจนอาจจะกระทบแอปพลิเคชั่นเดิมๆ เช่น

• ตัดซัพพอร์ต PostgreSQL 9.6 ลงไป ทำให้ต้องการ PostgreSQL 10 ขึ้นไปเท่านั้น
• ตัดซัพออร์ต Oracle 12.2 และ Oracle 18c
• คอนฟิก CSRF_TRUSTED_ORIGINS เปลี่ยนฟอร์แมต ต้องกำหนดโปรโตคอลเสมอ
• API อีกจำนวนมากที่ประกาศเตรียมถอดตั้งแต่ Django 3.0/3.1 เช่น ฟังก์ชั่น urlquote

นอกจากนี้ยังมีฟีเจอร์หลายตัวที่เตรียมตัดซัพพอร์ต เช่น ไลบรารี pytz ที่ใช้มาตั้งแต่ Django 1.4, L10N เปิดใช้งานเป็นค่าเริ่มต้น และเตรียมถอดคอนฟิกออก

ที่มา: Blognone

อยากให้ทุกคนได้พัก Electron ประกาศหยุดพัฒนาเดือนธันวาคม แก้เฉพาะช่องโหว่ความปลอดภัย

โครงการ Electron ที่เป็นพื้นฐานสำคัญสำหรับการพัฒนาแอปพลิเคชั่นเดสก์ทอป ประกาศหยุดพักโครงการ (quiet month) ในเดือนธันวาคมนี้ เพื่อให้นักพัมนาได้พักผ่อนเต็มที่ ทำให้เดือนธันวานี้ จะไม่มีการออกเวอร์ชั่นใหม่ไม่ว่าจะเป็นเบต้าหรือเวอร์ชั่นเสถียร, ไม่รับ pull request, ไม่ตอบ issue, ไม่มีนักพัฒนาช่วย debug ใน Discord, และช่องทางโซเชียลไม่มีอัพเดต

ทางโครงการยืนยันว่าโครงการยังอยู่ แต่อยากให้ผู้ดูแลโครงการได้พักผ่อนเต็มที่ และเดือนธันวาคมหลายบริษัทก็มีแนวทางลดงานช่วงนี้อยู่แล้ว การที่โครงการโอเพนซอร์สพักไปเหมือนกันทำให้ผู้ร่วมโครงการได้พักผ่อนเต็มที่ และทาง Electron สนับสนุนให้โครงการโอเพนซอร์สอื่นๆ ทำตามด้วย

ระหว่างการพัก จะยังคงออกเวอร์ชั่นใหม่ได้ หากเป็นช่องโหว่ความปลอดภัยหรือมีการละเมิดกฎชุมชน

ที่มา: Blognone

ลาก่อน IE เมื่อระบบของ Microsoft 365 ยกเลิกการรองรับ Internet Explorer แล้ว

Internet Explorer 11 หรือ IE11 ถือว่าเป็นเวอร์ชั่นสุดท้ายของ IE ที่เกิดขึ้นบนโลกก่อนที่ Microsoft EDGE จะเข้ามาทดแทน ทำให้ตอนนี้มีการผลักดันให้เลิกใช้ IE มากขึ้น ล่าสุดนี้ เว็บไซต์ Microsoft 365 ซึ่งเป็นศูนย์รวมต่างๆ จะไม่สามารถเข้าใช้งานด้วย IE11 ได้แล้ว

เริ่มจาก Outlook Web App, Share Point, Dynamic365 รวมไปถึง Office 365 ก็ไม่สามารถใช้งานด้วย IE 11 แล้ว คาดว่า Azure Virtual Desktopnจะหยุดให้ใช้งานผ่าน IE ในช่วงวันที่ 30 กันยายนนี้  และคาดว่าจะผลักไปให้ใช้ Microsoft EDGE นั่นเอง

ที่มา: Sanook

Amazon ล้มดีล เลิกย้ายซอฟต์แวร์ HR จาก PeopleSoft มาเป็น Workday

รอบเดือนที่ผ่านมา วงการซอฟต์แวร์สาย HR มีประเด็นข่าวที่น่าสนใจคือยักษ์ใหญ่อย่าง Amazon ตัดสินใจเลิกใช้ซอฟต์แวร์ Workday Human Capital Management ของบริษัท Workday ส่งผลให้หุ้นของ Workday ตกลงทันที

เดิมที Amazon ใช้ซอฟต์แวร์ Oracle PeopleSoft จัดการพนักงาน แต่ช่วงหลังเมื่อสายสัมพันธ์ของ Amazon กับ Oracle แย่ลง จนเลิกใช้ซอฟต์แวร์ Oracle หลายตัว ทำให้เมื่อปี 2017 Amazon เซ็นสัญญาย้ายไปใช้ Workday แทน ซึ่งถือเป็นชัยชนะของ Workday ที่ได้ลูกค้าใหญ่ระดับ Amazon

แต่เวลาผ่านมาหลายปี Amazon กลับไม่สามารถย้ายระบบมาเป็น Workday ได้ (ด้วยเหตุผลที่ไม่ระบุชัดเจนต่อสาธารณะ แต่ก็มีลือกันว่าเป็นเรื่องประสิทธิภาพของระบบ) กลับยังต้องใช้ PeopleSoft ต่อไป และสุดท้าย Amazon ต้องล้มเลิกแผนการย้ายมาใช้ Workday ไปเมื่อ 18 เดือนก่อน (Workday ระบุว่าบริษัทลูกของ Amazon บางแห่งใช้ Workday แล้ว เช่น Twitch, Audible, Whole Foods)

ในแถลงการณ์ของ Workday เมื่อปลายเดือนกรกฎาคม ระบุว่าเป็นการตัดสินใจร่วมกันของทั้งสองบริษัท และ Workday ยังเป็นพันธมิตรทางธุรกิจที่ดีของ Amazon Web Services ต่อไป

แต่หลังจากนั้นไม่นาน สัปดาห์ที่แล้ว Workday ก็แถลงข่าวร่วมกับ Google Cloud ในฐานะพาร์ทเนอร์ธุรกิจ ครอบคลุมตั้งแต่การใช้ซอฟต์แวร์ Workday HCM บน Google Cloud รวมถึงการทำตลาด และการพัฒนาโซลูชันร่วมกันในอนาคต

ที่มา: Blognone

เมนูคลิกขวา Windows 11 ออกแบบใหม่ สั้นลง จัดระเบียบครั้งแรกนับจาก Windows XP

ไมโครซอฟท์อธิบายเบื้องหลังการออกแบบเมนูคลิกขวา (context menu) ของ Windows 11 ที่แตกต่างจาก Windows 10 อยู่พอสมควร การเปลี่ยนแปลงสำคัญคือลดขนาดของเมนูให้สั้นลง จัดกลุ่มคำสั่งแบบเดียวกันไว้ด้วยกัน ย้ายคำสั่งที่ใช้บ่อยๆ เช่น Cut, Copy, Paste, Rename ไปไว้ด้านบนสุดของเมนู

ไมโครซอฟท์บอกว่า เมนูคลิกขวาไม่เคยถูกจัดระเบียบเลยนับตั้งแต่ Windows XP เป็นต้นมา มีหลายคำสั่งที่ไม่ค่อยมีคนใช้งาน และแอพที่ติดตั้งในระบบสามารถเพิ่มคำสั่งเข้ามาได้ไม่จำกัด

การแก้ไขของ Windows 11 จึงจัดกลุ่มคำสั่งของแอพ (app extensions) เข้าด้วยกัน และนำคำสั่งที่ไม่ค่อยมีใครใช้ไปรวมกันในกลุ่ม Show more options ที่จะโหลดเมนูเพิ่มในตอนหลัง ช่วยให้การโหลดเมนูเร็วขึ้น

เมนูของ Windows 10

เมนูของ Windows 11

นอกจากเมนูคลิปขวาแล้ว Windows 11 ยังปรับหน้าตาของ Share Dialog ใหม่ด้วยเล็กน้อย จัดกลุ่มของ Nearby Sharing ใหม่ และเปิดให้แอพต่างๆ เข้ามาเรียกใช้ Share Dialog ของ OS ได้ง่ายขึ้น เว็บแอพที่เป็น PWA ก็สามารถใช้งาน Share Dialog ได้ด้วย

ที่มา: Blognone

Visual Studio 2022 for Mac เปิดทดสอบกลุ่มปิด, ใช้ UI แบบเนทีฟของ macOS แล้ว

ไมโครซอฟท์เริ่มเปิดทดสอบ Visual Studio 2022 ฝั่งพีซีมาสักพัก ฝั่งของ Visual Studio 2022 for Mac ก็เริ่มเปิดทดสอบแบบ Private Preview กันแล้ว

การเปลี่ยนแปลงสำคัญที่สุดของ Visual Studio 2022 for Mac คือการปรับมาใช้ UI แบบเนทีฟของ macOS โดยตรง ช่วยให้ประสบการณ์ใช้งานดีขึ้น ลื่นขึ้น แก้ปัญหาด้านประสิทธิภาพและเสถียรภาพ รวมถึงได้ฟีเจอร์ด้าน accessibility จากตัว OS โดยตรงด้วย

ไมโครซอฟท์บอกว่าขอเวลาแก้บั๊กสำคัญๆ อีกระยะหนึ่ง และจะเปิดทดสอบแบบ Public Preview ตามมาในไม่ช้า

ที่มา: Blognone

Apple ชะลอแผนให้พนักงานกลับมาที่ออฟฟิศ เหตุไวรัสสายพันธุ์เดลตาระบาดมากขึ้น!

เมื่อเดือนมิถุนายน ทิม คุก (Tim Cook) ประกาศว่า Apple จะเริ่มต้นสภาวะการทำงานแบบไฮบริด โดยให้พนักงานกลับมาทำงานที่ออฟฟิศ 3 วันต่อสัปดาห์ในเดือนกันยายน ซึ่งมีพนักงานบางส่วนก็ไม่เห็นด้วยกับแผนการดังกล่าว ล่าสุด Apple ได้ชะลอการกลับมาทำงานที่ออฟฟิศออกไป เพราะที่อเมริกามีการแพร่ระบาดของไวรัสโควิด-19 สายพันธุ์เดลตา ที่ทำให้ยอดผู้ติดเชื้อเพิ่มขึ้นเป็น 40,000 รายต่อวัน

Apple ประกาศว่าสภาวะการทำงานแบบไฮบริดจะถูกเลื่อนออกไปอย่างน้อย 1 เดือน คือ เริ่มต้นเร็วที่สุดในเดือนตุลาคม แม้พนักงานของบริษัทจะยังคงไม่เห็นด้วยกับแผนการดังกล่าวก็ตาม

แม้ Apple จะเปิดตัวผลิตภัณฑ์อย่าง iPad Pro รุ่นใหม่ โดยปล่อยโฆษณาที่ชูข้อดีของในเรื่องความยืดหยุ่นของการทำงานนอกสถานที่ แต่บริษัทกลับมีนโยบายที่ไม่สอดคล้องกับผลิตภัณฑ์ของตนเอง โดยบริษัทต้องการให้พนักงานมาเจอหน้าและทำงานด้วยกัน เพื่อให้สามารถสรรค์สร้างไอเดียดีๆ สำหรับการพัฒนาผลิตภัณฑ์ในอนาคต ในขณะที่บริษัทอย่างเฟซบุ๊กมีนโยบายให้พนักงานกว่าครึ่งหนึ่งของบริษัทเปลี่ยนไปทำงานนอกสถานที่ถาวรภายใน 5 ถึง 10 ปีข้างหน้า หรือ Google ที่คาดการณ์ว่า จะมีพนักงานประมาณ 20% ที่เลือกจะทำงานนอกสถานที่ต่อไป แม้บริษัทจะอนุญาตให้กลับมาทำงานที่ออฟฟิศได้

อย่างไรก็ตามการตัดสินใจชะลอการกลับมาทำงานในออฟฟิศก็เป็นสิ่งที่ดีสำหรับพนักงาน เพราะจะสามารถลดโอกาสในการติดและแพร่เชื้อไวรัสโควิด-19 ได้ อีกทั้งการประกาศล่วงหน้าหลายเดือนยังทำให้พนักงานสามารถเตรียมตัวสำหรับการเปลี่ยนแปลงที่จะเกิดขึ้นได้

ที่มา: Beartai

Chrome เตรียมขึ้นเตือนหน้า HTTP ไม่ปลอดภัยเสมอ, เลิกแสดงกุญแจบน HTTPS

โครงการ Chromium ประกาศแนวทางทดสอบหน้าจอแสดงโปรโตคอล HTTP/HTTPS ให้การเข้ารหัสเป็นเรื่องปกติยิ่งกว่าตอนนี้ หลังจากสำรวจพบว่าเว็บมากกว่า 90% เข้ารหัสแล้ว โดยมีสองแนวทางหลักที่จะปรับให้การเข้ารหัสเป็นเรื่องปกติยิ่งขึ้น

• เลิกแสดงไอคอนกุญแจ ทุกวันนี้เมื่อเราเข้าเว็บ HTTPS เบราว์เซอร์จะแสดงรูปกุญแจยืนยันว่าการเชื่อมต่อเข้ารหัสอยู่ แต่ภายใน Chrome 93 กูเกิลจะเริ่มทดสอบไม่แสดงรูปกุญแจอีกต่อไป แต่เป็นไอคอนลูกศรลงเพื่อให้ผู้ใช้กดดูรายละเอียดการเชื่อมต่อแทน
• เพิ่มโหมด HTTPS-First ภายใน Chrome 94 กูเกิลจะเพิ่มตัวเลือก HTTPS-First เข้ามา ตัวเลือกนี้จะเปลี่ยนโหมดให้พยายามเชื่อมต่อกับทุกเว็บด้วย HTTPS เสมอแม้ตัวเว็บไม่ได้บังคับก็ตาม และหากเชื่อมต่อไม่สำเร็จจะแสดงหน้าจอเตือนแบบเต็มจอ หลังจากใส่ตัวเลือกมาแล้วจะพิจารณาเปิดตัวเลือกนี้เป็นค่าเริ่มต้นต่อไป

นอกจากการเปลี่ยนแปลงใหญ่ๆ แล้วกูเกิลยังเตรียมเปลี่ยนแปลงจุดเล็กๆ อื่นๆ เช่น เตือนผู้ใช้เมื่อเข้าเว็บที่เชื่อมต่อไม่ปลอดภัยให้ดีขึ้น, จำกัดสิทธิของเว็บที่เชื่อมต่อไม่ปลอดภัย, ลดระยะเวลาเก็บข้อมูลของเว็บไซต์ที่เชื่อมต่อไม่ปลอดภัย เช่น แคช หรือ local storage

ที่มา: Blognone