พบช่องโหว่ DoS ความรุนแรงสูงบน OpenSSL แนะผู้ใช้รีบอัปเดตแพทช์

OpenSSL ประกาศออกแพทช์อุดช่องโหว่หลายรายการบน Cryptographic Code Library ของตน ซึ่งหนึ่งในนั้นคือช่องโหว่ DoS ระดับความรุนแรงสูง

ช่องโหว่ DoS นี้มีรหัส CVE-2016-6304 ซึ่งช่วยให้แฮ็คเกอร์สามารถส่ง OCSP Status Request Extesion ขนาดใหญ่ไปยังเซิร์ฟเวอร์เป้าหมายระหว่างดำเนินการ Connection Negotiations ได้ ส่งผลให้สามารถโจมตีแบบ DoS เพื่อก่อให้เกิด Memory Exhaustion ได้

Credit: ShutterStock.com
Credit: ShutterStock.com

OCSP หรือ Online Certificate Status Protocol เป็นโปรโตคอลที่ถูกออกแบบมาเพื่อทำการยืนยันและรับสถานะการถอดถอน Digital Certificate ที่แนบมากับเว็บไซต์ ซึ่งเว็บเบราเซอร์สมัยใหม่ในปัจจุบันรองรับโปรโตคอลดังกล่าวทั้งหมด OCSP แบ่งการทำงานเป็นฝั่ง Client และ Server เมื่อแอพพลิเคชันหรือเว็บเซิร์ฟเวอร์ต้องการยืนยัน SSL Certificate ฝั่ง Client จะทำการส่ง Request ไปยัง Online Responder ผ่านทางโปรโตคอล HTTP และฝั่ง Server จะส่งสถานะของ Certificate กลับมาให้ว่ายัง Valid อยู่หรือไม่

Shi Lei นักวิจัยด้านความมั่นคงปลอดภัยจาก Qihoo 360 ระบุว่า ช่องโหว่ DoS นี้ส่งผลกระทบต่อทุกเซิร์ฟเวอร์ที่มีการตั้งค่า OpenSSL ดั้งเดิมจากโรงงาน ต่อให้เซิร์ฟเวอร์เหล่านั้นจะไม่รองรับโปรโตคอล OCSP ก็ตาม

“แฮ็คเกอร์สามารถใช้ TLS extension “TLSEXT_TYPE_status_request” และทำการเติม OCSP ID ด้วยการ Renegotiate Connections อย่างต่อเนื่อง … ซึ่งทางทฤษฎีแล้ว แฮ็คเกอร์สามารถ Renegotiate กับเซิร์ฟเวอร์ได้เรื่อยๆ ส่งผลให้เกิดการใช้งาน Memory เพิ่มขึ้นที่ละ 64K ไปเรื่อยๆ อย่างไม่มีที่สิ้นสุด” — Shi Lei อธิบาย

ช่องโหว่ DoS นี้ส่งผลกระทบ OpenSSL เวอร์ชัน 1.0.1, 1.0.2 และ 1.1.0 แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 1.0.1u, 1.0.2i และ 1.1.0a แทน หรือในกรณีที่ยังไม่สามารถอัปเดตแพทช์ได้ ให้ลดความเสียหายลงด้วยการรันคำสั่ง “no-ocsp”

นอกจากนี้ยังมีอีกช่องโหว่ DoS ความรุนแรงระดับปานกลางอีกหนึ่งรายการ คือ CVE-2016-6305 และช่องโหว่ระดับความรุนแรงต่ำอีก 12 รายการที่ถูกแก้ไขด้วยแพทช์เวอร์ชันล่าสุด

รายละเอียดเพิ่มเติม: https://www.openssl.org/news/secadv/20160922.txt

ที่มา: http://thehackernews.com/2016/09/openssl-dos-attack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เปิดตัว Dev Box ระบบ Cloud-based Developer Workstation Service ให้ทดลองใช้แบบ Preview

Microsoft เปิดตัว Dev Box ระบบ Cloud-based Developer Workstation Service ให้ทดลองใช้แบบ Preview

คู่มือ CRM ฉบับฟรีสำหรับ SME ไทย เผยวิธีช่วยหาลูกค้า ขายของให้สำเร็จ และรักษาลูกค้าใหม่ไว้ให้ได้

การสร้างฐานลูกค้าเป็นบททดสอบที่ยิ่งใหญ่สำหรับสตาร์ทอัปและ SME และยิ่งกลายเป็นความท้าทายที่ยิ่งใหญ่เดิมสำหรับในช่วงสองปีที่ผ่านมา สิ่งที่เปลี่ยนไปคือตอนนี้ลูกค้าคาดหวังจากธุรกิจมากกว่าแต่ก่อน ลูกค้าต้องการประสบการณ์ที่ดีกว่าเดิม เมื่อไปช้อปปิ้งออนไลน์หรือเมื่อมีคำถาม และลูกค้ายังต้องการเข้าถึงบริการแบบ Personalisation ตลอดเวลา และมีแนวโน้มมากขึ้นที่จะหันไปหาบริษัทที่ตอบสนองความต้องการของตนได้ ทั้งนี้ การปรับตัวให้ทันกับความคาดหวังของลูกค้าที่เปลี่ยนแปลงไป ได้ส่งผลกระทบต่อธุรกิจในยุคนี้เป็นอย่างมาก