พบช่องโหว่บน OpenSSL แนะผู้ใช้อัปเดต

the OpenSSL Project ได้ออกแพตช์อุดช่องโหว่รุนแรงสูง 2 รายการ โดยนำไปสู่การเกิด DoS หรือการ Bypass การตรวจสอบ Certificate

OpenSSL เวอร์ชันใหม่ 1.1.1k จะเข้ามาแก้ไขปัญหาช่องโหว่ 2 รายการคือ

• CVE-2021-3450 – มีข้อผิดพลาดในการตรวจสอบ Certificate Authority (CA) Certificate โดยส่งผลกระทบทั้งฝั่ง Server และ Client ซึ่งนำไปสู่การ Bypass การตรวจสอบ Certificate ได้
• CVE-2021-3449 –  ช่องโหว่ DoS สาเหตุจาก NULL Pointer dereferencing โดยส่งผลกระทบกับ Server OpenSSL ในเวอร์ชันระหว่าง 1.1.1 ถึง 1.1.1j เพราะมีการเปิด TLSv1.2 และ renegotiation เป็นค่าพื้นฐาน

ที่มา : https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/ และ https://www.securityweek.com/openssl-111k-patches-two-high-severity-vulnerabilities