พบช่องโหว่การปลอม Certificate บน OpenSSL แนะผู้ดูแลระบบรีบอัพเดทแพทช์

OpenSSL Project ได้ทำการปล่อยแพทช์ Security Update ใหม่สำหรับผู้ที่ใช้งาน OpenSSL เพื่ออุดช่องโหว่ความรุนแรงสูงที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Certificate ได้ โดยแฮ็คเกอร์สามารถเปลี่ยน Certificate ของตนจาก Untrusted Certificate กลายเป็น Trusted Certificate ซึ่งอาจเสี่ยงถูกโจมตีแบบ Man-in-the-middle

ปัญหาด้านการตรวจสอบ Certificate

OpenSSL Project อธิบายถึงช่องโหว่นี้ว่า ในระหว่างการตรวจสอบ Certificate นั้น OpenSSL จะทำการค้นหา Certificate Chain สำรอง ในกรณีที่การสร้าง Certificate Chain อันแรกล้มเหลว ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ bypass การตรวจสอบ Untrusted Certificate ไปได้ นั่นคือ สามารถทำตัวเป็น Certificate Authority เพื่อออก Certificate ปลอมมาใช้งาน โดยที่ระบบคิดว่าเป็น Certificate ที่เชื่อถือได้ หรือ Trusted Certificate นั่นเอง การกระทำนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถโจมตีแบบ Man-in-the-middle ต่อไปได้

หมายเลข CVE คือ CVE-2015-1793 (Alternative chains certificate forgery)

OpenSSL เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่การปลอม Certificate นี้พบใน OpenSSL เวอร์ชัน 1.0.1 และ 1.0.2 ที่เปิดให้ใช้งานหลังเดือนมิถุนายน 2015 ซึ่งได้แก่ เวอร์ชัน 1.0.1n, 1.0.1o, 1.0.2b และ 1.0.2c สำหรับเวอร์ชัน 0.9.8 และ 1.0.0 นั้นไม่ได้รับผลกระทบต่อช่องโหว่ดังกล่าวแต่อย่างใด อย่างไรก็ตาม ทั้ง 2 เวอร์ชันนี้จะถูกปลดระวาง (End of Support) ในวันที่ 31 ธันวาคม 2015 นี้ จึงแนะนำให้ผู้ใช้งานเตรียมแผนอัพเกรดเป็นเวอร์ชันใหม่โดยเร็ว

การแก้ปัญหา

OpenSSL Project แนะนำให้ผู้ที่ใช้งานเวอร์ชัน 1.0.1 อัพเกรดเป็น 1.0.1p และผู้ที่ใช้งานเวอร์ชัน 1.0.2 อัพเกรดเป็น 1.0.2d

ที่มา: https://www.openssl.org/news/secadv_20150709.txt

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้