OpenSSL ออก Patch อุดช่องโหว่ SSL Death Alert เปิดช่อง DoS โจมตี OpenSSL Server ให้ล่มได้ ควร Patch ทันที

OpenSSL ประกาศออก Patch อุดช่องโหว่ Denial of Service (DoS) ที่มีชื่อว่า SSL Death Alert (CVE-2016-8610)

ช่องโหว่นี้เกิดจากการอนุญาตให้ระบบ OpenSSL นั้นรับการแจ้ง Alert จาก SSL3_AL_WARNING Alert Packet ต่อเนื่องได้เป็นจำนวนมาก ส่งผลให้ผู้โจมตีสามารถนำช่องโหว่นี้มาใช้ในการโจมตี DoS เพื่อให้ CPU Load ของ OpenSSL สูงขึ้นได้

ภายใน Patch นี้จึงได้ทำการแก้ไขปัญหานี้ด้วยการจำกัดจำนวนครั้งที่จะรับ Alert มาอย่างต่อเนื่องเอาไว้ที่ 5 ครั้ง (สามารถปรับแต่งได้) โดยหากจำนวน Alert ที่ได้รับเกินกว่านั้นก็จะเกิด Error แทน ทำให้ CPU ไม่พุ่งสูงมากนักถึงแม้จะถูกโจมตีอย่างต่อเนื่อง

ที่มา: https://securingtomorrow.mcafee.com/mcafee-labs/ssl-death-alert-cve-2016-8610-can-cause-denial-of-service-to-openssl-servers/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้