Patch ล่าสุดของ OpenSSL ออกมาแล้ว! ควรอัพเดตด่วน!

หลังจากที่ OpenSSL ได้ออกมาประกาศให้เราเตรียม Patch อุดอีก 2 ช่องโหว่กันไปเมื่อสองวันก่อน วันนี้ OpenSSL ปล่อย Patch ออกมาเรียบร้อยแล้วครับ โดยช่องโหว่ที่อุดในครั้งนี้มีด้วยกันสองระดับความร้ายแรง

openssl_banner

สำหรับช่องโหว่ที่มีความร้ายแรงสูงนั้นอยู่ใน OpenSSL 1.0.2 ที่รองรับการสร้าง DH Parameter แบบ X9.42 ซึ่งอาจไม่ปลอดภัยและมีการใช้ซ้ำ จนนำไปสู่การเปิดช่องให้ผู้โจมตีสามารถค้นหา Private DH Exponent ที่ TLS Server ใช้งานได้ แต่ทั้งนี้ระบบที่ทำการตั้งค่าเปิดการใช้งาน SSL_OP_SINGLE_DH_USE สำหรับ Ephemeral DH (DHE) ใน TLS ก็จะไม่สามารถถูกโจมตีได้จากช่องโหว่นี้ ซึ่งใน Patch ล่าสุดก็ได้มีการแก้ให้เปิดค่านี้เอาไว้เป็น Default แล้ว และอาจส่งผลกระทบต่อประสิทธิภาพของระบบได้ แต่ใน OpenSSL 1.0.1 จะไม่ได้รับผลกระทบนี้เพราะไม่รองรับ X9.42 อยู่แล้ว

ส่วนอีกช่องโหว่ที่มีความร้ายแรงต่ำ แต่ส่งผลกระทบกับทั้ง OpenSSL 1.0.2 และ 1.0.1 ก็คือช่องโหว่ที่เปิดให้สามารถทำการ Negotiate ด้วย SSLv2 cipher ได้ถึงแม้จะปิดการตั้งค่าเอาไว้บนฝั่ง Server ซึ่ง Patch ล่าสุดก็ได้แก้ไขปัญหานี้แล้ว

นอกจากนี้ก็มีการป้องกันปัญหาการโจมตีแบบ Logjam ที่สามารถทำการโจมตีแบบ Man-in-the-Middle เพื่อ Downgrade การเชื่อมต่อ TLS ให้ไปใช้ Key ขนาด 512-bit แบบ export-grade แทน ซึ่งใน Patch ล่าสุดนี้ได้มีการแก้ปัญหาให้ทำการปฎิเสธการทำ Handshake ด้วย DH Parameter ที่มีความยาวน้อยกว่า 768-bit ไปเลย

Patch ล่าสุดนี้คือ 1.0.2f และ 1.0.1r ใครยังไม่อัพก็รีบไปอัพกันนะครับ

ที่มา: https://threatpost.com/openssl-patches-serious-flaw-that-puts-popular-applications-at-risk/116063/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เปิดตัว Firepower 1000 Series เสริมความมั่นคงปลอดภัยแก่ SMB

ภายในงาน Cisco Live US ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่าน Cisco ได้ประกาศเปิดตัว Firepower 1000 Series ซึ่งเป็น Threat-focused Next-generation Firewall รุ่นใหม่ …

SOSECURE เปิดคอร์สอบรม How to be a Cyber Threat Hunter 24 – 26 ก.ค. 2019

SOSECURE ขอเรียนเชิญ Threat Intelligence Engineer, Security Analyst, Cybersecurity Engineer และผู้ที่ทำงานในวงการ IT ที่สนใจ เข้าร่วมเรียนในคอร์ส "How to be a Cyber Threat Hunter โดย SoSecure" เพื่อเรียนรู้เทคนิคและเครื่องมือสำหรับการทำงานในสาย Security แบบมืออาชีพสำหรับธุรกิจองค์กร ในวันที่ 24 - 26 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมเรียนดังนี้