พบช่องโหว่การปลอม Certificate บน OpenSSL แนะผู้ดูแลระบบรีบอัพเดทแพทช์

OpenSSL Project ได้ทำการปล่อยแพทช์ Security Update ใหม่สำหรับผู้ที่ใช้งาน OpenSSL เพื่ออุดช่องโหว่ความรุนแรงสูงที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Certificate ได้ โดยแฮ็คเกอร์สามารถเปลี่ยน Certificate ของตนจาก Untrusted Certificate กลายเป็น Trusted Certificate ซึ่งอาจเสี่ยงถูกโจมตีแบบ Man-in-the-middle

ปัญหาด้านการตรวจสอบ Certificate

OpenSSL Project อธิบายถึงช่องโหว่นี้ว่า ในระหว่างการตรวจสอบ Certificate นั้น OpenSSL จะทำการค้นหา Certificate Chain สำรอง ในกรณีที่การสร้าง Certificate Chain อันแรกล้มเหลว ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ bypass การตรวจสอบ Untrusted Certificate ไปได้ นั่นคือ สามารถทำตัวเป็น Certificate Authority เพื่อออก Certificate ปลอมมาใช้งาน โดยที่ระบบคิดว่าเป็น Certificate ที่เชื่อถือได้ หรือ Trusted Certificate นั่นเอง การกระทำนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-middle ต่อไปได้

หมายเลข CVE คือ CVE-2015-1793 (Alternative chains certificate forgery)

OpenSSL เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่การปลอม Certificate นี้พบใน OpenSSL เวอร์ชัน 1.0.1 และ 1.0.2 ที่เปิดให้ใช้งานหลังเดือนมิถุนายน 2015 ซึ่งได้แก่ เวอร์ชัน 1.0.1n, 1.0.1o, 1.0.2b และ 1.0.2c สำหรับเวอร์ชัน 0.9.8 และ 1.0.0 นั้นไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด อย่างไรก็ตาม ทั้ง 2 เวอร์ชันนี้จะถูกปลดระวาง (End of Support) ในวันที่ 31 ธันวาคม 2015 นี้ จึงแนะนำให้ผู้ใช้งานเตรียมแผนอัพเกรดเป็นเวอร์ชันใหม่โดยเร็ว

การแก้ปัญหา

OpenSSL Project แนะนำให้ผู้ที่ใช้งานเวอร์ชัน 1.0.1 อัพเกรดเป็น 1.0.1p และผู้ที่ใช้งานเวอร์ชัน 1.0.2 อัพเกรดเป็น 1.0.2d

ที่มา: https://www.openssl.org/news/secadv_20150709.txt



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงานสัมมนาออนไลน์ Easily Deploy K8s Cluster on VMware Cloud Foundation with Tanzu

Kubernetes เป็นหนึ่งในปัจจัยที่องค์กรต่างแสวงหาเพื่อเปลี่ยนโฉม Infrastructure ของตน ให้สอดรับกับนโนบายการทำ Modernize Application ขององค์กร ด้วยเหตุนี้วันที่ 15 กันยายนที่ผ่านมา ทาง VMware จึงได้งานสัมมนาออนไลน์เพื่อให้ความรู้เกี่ยวกับการเริ่มต้นใช้งาน Kubernetes …

สรุปงานสัมมนาออนไลน์ VMware Cloud As An Operating Model: A Hybrid Cloud Blueprint for Modern Applications

ความท้าทายในการพัฒนาองค์กรจาก Infrastructure แบบเดิมสู่ Hybrid Cloud นั้นมีไม่น้อย แต่ในเมื่อเทคโนโลยีอันล้ำค่าจาก Cloud เป็นสิ่งที่หลีกเลี่ยงไม่ได้ ดังนั้นแล้วจะทำอย่างไรองค์กรจึงสามารถก้าวข้ามอุปสรรคสู่เป้าหมายดังกล่าวโดยกระทบกับผู้ปฏิบัติงานให้น้อยที่สุด จึงเป็นที่มาของหัวข้อสัมมนาในโซลูชัน VMware Cloud on AWS …