OpenSSL Project ได้ทำการปล่อยแพทช์ Security Update ใหม่สำหรับผู้ที่ใช้งาน OpenSSL เพื่ออุดช่องโหว่ความรุนแรงสูงที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Certificate ได้ โดยแฮ็คเกอร์สามารถเปลี่ยน Certificate ของตนจาก Untrusted Certificate กลายเป็น Trusted Certificate ซึ่งอาจเสี่ยงถูกโจมตีแบบ Man-in-the-middle
ปัญหาด้านการตรวจสอบ Certificate
OpenSSL Project อธิบายถึงช่องโหว่นี้ว่า ในระหว่างการตรวจสอบ Certificate นั้น OpenSSL จะทำการค้นหา Certificate Chain สำรอง ในกรณีที่การสร้าง Certificate Chain อันแรกล้มเหลว ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ bypass การตรวจสอบ Untrusted Certificate ไปได้ นั่นคือ สามารถทำตัวเป็น Certificate Authority เพื่อออก Certificate ปลอมมาใช้งาน โดยที่ระบบคิดว่าเป็น Certificate ที่เชื่อถือได้ หรือ Trusted Certificate นั่นเอง การกระทำนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-middle ต่อไปได้
หมายเลข CVE คือ CVE-2015-1793 (Alternative chains certificate forgery)
OpenSSL เวอร์ชันที่ได้รับผลกระทบ
ช่องโหว่การปลอม Certificate นี้พบใน OpenSSL เวอร์ชัน 1.0.1 และ 1.0.2 ที่เปิดให้ใช้งานหลังเดือนมิถุนายน 2015 ซึ่งได้แก่ เวอร์ชัน 1.0.1n, 1.0.1o, 1.0.2b และ 1.0.2c สำหรับเวอร์ชัน 0.9.8 และ 1.0.0 นั้นไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด อย่างไรก็ตาม ทั้ง 2 เวอร์ชันนี้จะถูกปลดระวาง (End of Support) ในวันที่ 31 ธันวาคม 2015 นี้ จึงแนะนำให้ผู้ใช้งานเตรียมแผนอัพเกรดเป็นเวอร์ชันใหม่โดยเร็ว
การแก้ปัญหา
OpenSSL Project แนะนำให้ผู้ที่ใช้งานเวอร์ชัน 1.0.1 อัพเกรดเป็น 1.0.1p และผู้ที่ใช้งานเวอร์ชัน 1.0.2 อัพเกรดเป็น 1.0.2d