OpenSSL อัปเดตแพตช์แก้ไขช่องโหว่รุนแรงสูง 2 รายการ

สำหรับท่านใดที่ใช้ OpenSSL เวอร์ชัน 3.0.0 หรือสูงกว่า มีช่องโหว่ 2 รายการที่ได้รับการอัปเดต แนะนำให้ผู้ใช้อัปเดตเป็น 3.0.7

CVE-2022-3602 และ CVE-2022-3786 เป็นช่องโหว่ Buffer Overflow ใน Punnycode Decoder ที่ใช้ในการเข้ารหัสการสื่อสาร โดยทีมงาน OpenSSL ชี้ว่า “OpenSSL 3.0 ที่มีการตรวจสอบ X.509 Certificate จากแหล่งที่มาที่ไม่น่าเชื่อถืออาจมีความเสี่ยง ซึ่งครอบคลุมถึง TLS Client และ TLS Server ที่คอนฟิคให้มีการพิสูจน์ตัวตนของ Client

เคราะห์ดีที่ความรุนแรงอาจไม่ได้น่ากังวลขนาดนั้นจาก 2 ปัจจัย ปัจจัยแรกคือสถิติจำนวนผู้ใช้ OpenSSL เวอร์ชันปัญหานี้มีเพียง 1.5% เท่านั้น (มากที่สุดคือ OpenSSL 1.1.1 กว่า 65.5% แต่ไม่ได้รับผลกระทบ) ปัจจัยต่อมาคือต้องมีเงื่อนไขอย่างมีความต้องการให้ตรวจสอบ Signature ของ Certificate ที่ต้องใช้ CA มา Sign ตัว Certificate นั้น ด้วยเหตุนี้เองคาดว่าแม้ช่องโหว่ดูรุนแรงแต่ผลกระทบอาจไม่มากอย่างที่คิด

ที่มา : https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/ และ https://www.helpnetsecurity.com/2022/11/01/high-severity-openssl-vulnerabilities-fixed-cve-2022-3602-cve-2022-3786/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นัดคุย สกมช. และเจรจาธุรกิจกับเหล่า Vendor/Service Provider ได้ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

บริษัท IT Consult, System Integrator และ Distributor ที่กำลังมองหาผลิตภัณฑ์หรือบริการด้าน Cybersecurity จากเหล่า Vendor และ Service Provider มาขายหรือให้บริการในไทย …

Fortinet ออกชิป ASIC ใหม่ ‘FortiSP5’ ยกระดับการทำงาน ผสานพลัง Network และ Security

Fortinet ผู้นำด้าน Next-gen Firewall ได้เปิดตัวนวัตกรรมชิป ASIC ล่าสุดของตนรุ่นที่ 5 หรือ Security Processing Unit ‘SP5’ โดยมีสถิติใหม่ที่น่าสนใจดังนี้