OpenSSL ปล่อย 8 แพทช์อุดช่องโหว่

OpenSSL Project ได้ทำการปล่อย Update ใหม่สำหรับ OpenSSL ซึ่งเป็น Open-source Library ยอดนิยมในการใช้งานโปรโตคอล SSL และ TLS คือ เวอร์ชัน 1.0.1k, 1.0.0p และ 0.9.8zd ซึ่งแก้ปัญหา 8 ช่องโหว่ของ OpenSSL โดย 2 จาก 8 ช่องโหว่นั้นอาจถูกโจมตีแบบ Denial of Service (DoS) ได้

ช่องโหว่แรกถูกค้นพบโดย Markus Stenberg นักวิจัยจาก Cisco เมื่อปลายปีที่ผ่านมา ซึ่งอาจถูกโจมตีได้โดยสร้างข้อความ DTLS แบบพิเศษขึ้นมา ซึ่งสามารถทำให้ให้เกิด Segmentation Fault บน OpenSSL ด้วยสาเหตุจาก NULL Pointer Dereference

อีกช่องโหว่หนึ่งถูกพบเมื่อวันพุธที่ผ่านมาโดย Chris Mueller ช่องโหว่นี้เป็นการรั่วไหลของ Memory ซึ่งอาจถูกใช้เพื่อก่อให้เกิด Memory Exhaustion และถูก DoS ตามมาได้

สำหรับช่องโหว่ที่สำคัญอื่นๆ เช่น ช่องโหว่บน Ciphersuit และช่องโหว่เกี่ยวกับการพิสูจน์ตัวตนโดยไม่ต้องใช้กุญแจเข้ารหัส เป็นต้น ซึ่งช่องโหว่เหล่านี้ถูกโจมตีค่อนข้างยาก ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ทั้งหมดได้ที่ Security Advisory

นอกจากนี้ การซัพพอร์ทสำหรับ OpenSSL เวอร์ชัน 1.0.0 และ 0.9.8 จะสิ้นสุดลงในวันที่ 31 ธันวาคม 2015 นี้ สำหรับผู้ที่ใช้ 2 เวอร์ชันนี้อยู่ แนะนำให้เตรียมแผนการอัพเกรดเป็นเวอร์ชันล่าสุด คือ 1.0.1

ที่มา: http://www.net-security.org/secworld.php?id=17803