OpenSSL อัปเดตแพตช์แก้ไขช่องโหว่รุนแรงสูง 2 รายการ

สำหรับท่านใดที่ใช้ OpenSSL เวอร์ชัน 3.0.0 หรือสูงกว่า มีช่องโหว่ 2 รายการที่ได้รับการอัปเดต แนะนำให้ผู้ใช้อัปเดตเป็น 3.0.7

CVE-2022-3602 และ CVE-2022-3786 เป็นช่องโหว่ Buffer Overflow ใน Punnycode Decoder ที่ใช้ในการเข้ารหัสการสื่อสาร โดยทีมงาน OpenSSL ชี้ว่า “OpenSSL 3.0 ที่มีการตรวจสอบ X.509 Certificate จากแหล่งที่มาที่ไม่น่าเชื่อถืออาจมีความเสี่ยง ซึ่งครอบคลุมถึง TLS Client และ TLS Server ที่คอนฟิคให้มีการพิสูจน์ตัวตนของ Client

เคราะห์ดีที่ความรุนแรงอาจไม่ได้น่ากังวลขนาดนั้นจาก 2 ปัจจัย ปัจจัยแรกคือสถิติจำนวนผู้ใช้ OpenSSL เวอร์ชันปัญหานี้มีเพียง 1.5% เท่านั้น (มากที่สุดคือ OpenSSL 1.1.1 กว่า 65.5% แต่ไม่ได้รับผลกระทบ) ปัจจัยต่อมาคือต้องมีเงื่อนไขอย่างมีความต้องการให้ตรวจสอบ Signature ของ Certificate ที่ต้องใช้ CA มา Sign ตัว Certificate นั้น ด้วยเหตุนี้เองคาดว่าแม้ช่องโหว่ดูรุนแรงแต่ผลกระทบอาจไม่มากอย่างที่คิด

ที่มา : https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/ และ https://www.helpnetsecurity.com/2022/11/01/high-severity-openssl-vulnerabilities-fixed-cve-2022-3602-cve-2022-3786/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …