OpenSSL อัปเดตแพตช์แก้ไขช่องโหว่รุนแรงสูง 2 รายการ

สำหรับท่านใดที่ใช้ OpenSSL เวอร์ชัน 3.0.0 หรือสูงกว่า มีช่องโหว่ 2 รายการที่ได้รับการอัปเดต แนะนำให้ผู้ใช้อัปเดตเป็น 3.0.7

CVE-2022-3602 และ CVE-2022-3786 เป็นช่องโหว่ Buffer Overflow ใน Punnycode Decoder ที่ใช้ในการเข้ารหัสการสื่อสาร โดยทีมงาน OpenSSL ชี้ว่า “OpenSSL 3.0 ที่มีการตรวจสอบ X.509 Certificate จากแหล่งที่มาที่ไม่น่าเชื่อถืออาจมีความเสี่ยง ซึ่งครอบคลุมถึง TLS Client และ TLS Server ที่คอนฟิคให้มีการพิสูจน์ตัวตนของ Client“

เคราะห์ดีที่ความรุนแรงอาจไม่ได้น่ากังวลขนาดนั้นจาก 2 ปัจจัย ปัจจัยแรกคือสถิติจำนวนผู้ใช้ OpenSSL เวอร์ชันปัญหานี้มีเพียง 1.5% เท่านั้น (มากที่สุดคือ OpenSSL 1.1.1 กว่า 65.5% แต่ไม่ได้รับผลกระทบ) ปัจจัยต่อมาคือต้องมีเงื่อนไขอย่างมีความต้องการให้ตรวจสอบ Signature ของ Certificate ที่ต้องใช้ CA มา Sign ตัว Certificate นั้น ด้วยเหตุนี้เองคาดว่าแม้ช่องโหว่ดูรุนแรงแต่ผลกระทบอาจไม่มากอย่างที่คิด

ที่มา : https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/ และ https://www.helpnetsecurity.com/2022/11/01/high-severity-openssl-vulnerabilities-fixed-cve-2022-3602-cve-2022-3786/