หลังจากที่ OpenSSL ได้ออกมาประกาศให้เราเตรียม Patch อุดอีก 2 ช่องโหว่กันไปเมื่อสองวันก่อน วันนี้ OpenSSL ปล่อย Patch ออกมาเรียบร้อยแล้วครับ โดยช่องโหว่ที่อุดในครั้งนี้มีด้วยกันสองระดับความร้ายแรง
สำหรับช่องโหว่ที่มีความร้ายแรงสูงนั้นอยู่ใน OpenSSL 1.0.2 ที่รองรับการสร้าง DH Parameter แบบ X9.42 ซึ่งอาจไม่ปลอดภัยและมีการใช้ซ้ำ จนนำไปสู่การเปิดช่องให้ผู้โจมตีสามารถค้นหา Private DH Exponent ที่ TLS Server ใช้งานได้ แต่ทั้งนี้ระบบที่ทำการตั้งค่าเปิดการใช้งาน SSL_OP_SINGLE_DH_USE สำหรับ Ephemeral DH (DHE) ใน TLS ก็จะไม่สามารถถูกโจมตีได้จากช่องโหว่นี้ ซึ่งใน Patch ล่าสุดก็ได้มีการแก้ให้เปิดค่านี้เอาไว้เป็น Default แล้ว และอาจส่งผลกระทบต่อประสิทธิภาพของระบบได้ แต่ใน OpenSSL 1.0.1 จะไม่ได้รับผลกระทบนี้เพราะไม่รองรับ X9.42 อยู่แล้ว
ส่วนอีกช่องโหว่ที่มีความร้ายแรงต่ำ แต่ส่งผลกระทบกับทั้ง OpenSSL 1.0.2 และ 1.0.1 ก็คือช่องโหว่ที่เปิดให้สามารถทำการ Negotiate ด้วย SSLv2 cipher ได้ถึงแม้จะปิดการตั้งค่าเอาไว้บนฝั่ง Server ซึ่ง Patch ล่าสุดก็ได้แก้ไขปัญหานี้แล้ว
นอกจากนี้ก็มีการป้องกันปัญหาการโจมตีแบบ Logjam ที่สามารถทำการโจมตีแบบ Man-in-the-Middle เพื่อ Downgrade การเชื่อมต่อ TLS ให้ไปใช้ Key ขนาด 512-bit แบบ export-grade แทน ซึ่งใน Patch ล่าสุดนี้ได้มีการแก้ปัญหาให้ทำการปฎิเสธการทำ Handshake ด้วย DH Parameter ที่มีความยาวน้อยกว่า 768-bit ไปเลย
Patch ล่าสุดนี้คือ 1.0.2f และ 1.0.1r ใครยังไม่อัพก็รีบไปอัพกันนะครับ
ที่มา: https://threatpost.com/openssl-patches-serious-flaw-that-puts-popular-applications-at-risk/116063/