IBM Flashsystem

พบช่องโหว่การปลอม Certificate บน OpenSSL แนะผู้ดูแลระบบรีบอัพเดทแพทช์

OpenSSL Project ได้ทำการปล่อยแพทช์ Security Update ใหม่สำหรับผู้ที่ใช้งาน OpenSSL เพื่ออุดช่องโหว่ความรุนแรงสูงที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Certificate ได้ โดยแฮ็คเกอร์สามารถเปลี่ยน Certificate ของตนจาก Untrusted Certificate กลายเป็น Trusted Certificate ซึ่งอาจเสี่ยงถูกโจมตีแบบ Man-in-the-middle

ปัญหาด้านการตรวจสอบ Certificate

OpenSSL Project อธิบายถึงช่องโหว่นี้ว่า ในระหว่างการตรวจสอบ Certificate นั้น OpenSSL จะทำการค้นหา Certificate Chain สำรอง ในกรณีที่การสร้าง Certificate Chain อันแรกล้มเหลว ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ bypass การตรวจสอบ Untrusted Certificate ไปได้ นั่นคือ สามารถทำตัวเป็น Certificate Authority เพื่อออก Certificate ปลอมมาใช้งาน โดยที่ระบบคิดว่าเป็น Certificate ที่เชื่อถือได้ หรือ Trusted Certificate นั่นเอง การกระทำนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-middle ต่อไปได้

หมายเลข CVE คือ CVE-2015-1793 (Alternative chains certificate forgery)

OpenSSL เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่การปลอม Certificate นี้พบใน OpenSSL เวอร์ชัน 1.0.1 และ 1.0.2 ที่เปิดให้ใช้งานหลังเดือนมิถุนายน 2015 ซึ่งได้แก่ เวอร์ชัน 1.0.1n, 1.0.1o, 1.0.2b และ 1.0.2c สำหรับเวอร์ชัน 0.9.8 และ 1.0.0 นั้นไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด อย่างไรก็ตาม ทั้ง 2 เวอร์ชันนี้จะถูกปลดระวาง (End of Support) ในวันที่ 31 ธันวาคม 2015 นี้ จึงแนะนำให้ผู้ใช้งานเตรียมแผนอัพเกรดเป็นเวอร์ชันใหม่โดยเร็ว

การแก้ปัญหา

OpenSSL Project แนะนำให้ผู้ที่ใช้งานเวอร์ชัน 1.0.1 อัพเกรดเป็น 1.0.1p และผู้ที่ใช้งานเวอร์ชัน 1.0.2 อัพเกรดเป็น 1.0.2d

ที่มา: https://www.openssl.org/news/secadv_20150709.txt

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สตาร์ทอัพความมั่นคงปลอดภัยข้อมูล Virtru ระดมทุน 50 ล้านดอลลาร์

Virtru สตาร์ทอัพที่ช่วยให้องค์กรสามารถป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ระดมทุนใหม่จำนวน 50 ล้านดอลลาร์ในรอบ Series D ที่นำโดย Iconiq และร่วมด้วย Bessemer Venture Partners, Foundry และ …

AWS เตรียมเปิดตลาดเอเจนต์ AI ร่วมกับ Anthropic ในสัปดาห์หน้า

มีรายงานว่า Amazon Web Services เตรียมเดินตามรอย Microsoft และ Google Cloud ด้วยการเปิดตัวตลาดเฉพาะสำหรับเอเจนต์ปัญญาประดิษฐ์ และนักพัฒนา AI รายโปรดอย่าง Anthropic ก็จะเป็นหนึ่งในพันธมิตรร่วมเปิดตัวด้วย