OpenSSL ประกาศออกแพทช์อุดช่องโหว่หลายรายการบน Cryptographic Code Library ของตน ซึ่งหนึ่งในนั้นคือช่องโหว่ DoS ระดับความรุนแรงสูง
ช่องโหว่ DoS นี้มีรหัส CVE-2016-6304 ซึ่งช่วยให้แฮ็คเกอร์สามารถส่ง OCSP Status Request Extesion ขนาดใหญ่ไปยังเซิร์ฟเวอร์เป้าหมายระหว่างดำเนินการ Connection Negotiations ได้ ส่งผลให้สามารถโจมตีแบบ DoS เพื่อก่อให้เกิด Memory Exhaustion ได้
OCSP หรือ Online Certificate Status Protocol เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อทำการยืนยันและรับสถานะการถอดถอน Digital Certificate ที่แนบมากับเว็บไซต์ ซึ่งเว็บเบราเซอร์สมัยใหม่ในปัจจุบันรองรับโปรโตคอลดังกล่าวทั้งหมด OCSP แบ่งการทำงานเป็นฝั่ง Client และ Server เมื่อแอพพลิเคชันหรือเว็บเซิร์ฟเวอร์ต้องการยืนยัน SSL Certificate ฝั่ง Client จะทำการส่ง Request ไปยัง Online Responder ผ่านทางโปรโตคอล HTTP และฝั่ง Server จะส่งสถานะของ Certificate กลับมาให้ว่ายัง Valid อยู่หรือไม่
Shi Lei นักวิจัยด้านความมั่นคงปลอดภัยจาก Qihoo 360 ระบุว่า ช่องโหว่ DoS นี้ส่งผลกระทบต่อทุกเซิร์ฟเวอร์ที่มีการตั้งค่า OpenSSL ดั้งเดิมจากโรงงาน ต่อให้เซิร์ฟเวอร์เหล่านั้นจะไม่รองรับโปรโตคอล OCSP ก็ตาม
“แฮ็คเกอร์สามารถใช้ TLS extension “TLSEXT_TYPE_status_request” และทำการเติม OCSP ID ด้วยการ Renegotiate Connections อย่างต่อเนื่อง … ซึ่งทางทฤษฎีแล้ว แฮ็คเกอร์สามารถ Renegotiate กับเซิร์ฟเวอร์ได้เรื่อยๆ ส่งผลให้เกิดการใช้งาน Memory เพิ่มขึ้นที่ละ 64K ไปเรื่อยๆ อย่างไม่มีที่สิ้นสุด” — Shi Lei อธิบาย
ช่องโหว่ DoS นี้ส่งผลกระทบ OpenSSL เวอร์ชัน 1.0.1, 1.0.2 และ 1.1.0 แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 1.0.1u, 1.0.2i และ 1.1.0a แทน หรือในกรณีที่ยังไม่สามารถอัปเดตแพทช์ได้ ให้ลดความเสียหายลงด้วยการรันคำสั่ง “no-ocsp”
นอกจากนี้ยังมีอีกช่องโหว่ DoS ความรุนแรงระดับปานกลางอีกหนึ่งรายการ คือ CVE-2016-6305 และช่องโหว่ระดับความรุนแรงต่ำอีก 12 รายการที่ถูกแก้ไขด้วยแพทช์เวอร์ชันล่าสุด
รายละเอียดเพิ่มเติม: https://www.openssl.org/news/secadv/20160922.txt
ที่มา: http://thehackernews.com/2016/09/openssl-dos-attack.html