Black Hat Asia 2023

OpenSSL ออก Patch อุดช่องโหว่ SSL Death Alert เปิดช่อง DoS โจมตี OpenSSL Server ให้ล่มได้ ควร Patch ทันที

OpenSSL ประกาศออก Patch อุดช่องโหว่ Denial of Service (DoS) ที่มีชื่อว่า SSL Death Alert (CVE-2016-8610)

ช่องโหว่นี้เกิดจากการอนุญาตให้ระบบ OpenSSL นั้นรับการแจ้ง Alert จาก SSL3_AL_WARNING Alert Packet ต่อเนื่องได้เป็นจำนวนมาก ส่งผลให้ผู้โจมตีสามารถนำช่องโหว่นี้มาใช้ในการโจมตี DoS เพื่อให้ CPU Load ของ OpenSSL สูงขึ้นได้

ภายใน Patch นี้จึงได้ทำการแก้ไขปัญหานี้ด้วยการจำกัดจำนวนครั้งที่จะรับ Alert มาอย่างต่อเนื่องเอาไว้ที่ 5 ครั้ง (สามารถปรับแต่งได้) โดยหากจำนวน Alert ที่ได้รับเกินกว่านั้นก็จะเกิด Error แทน ทำให้ CPU ไม่พุ่งสูงมากนักถึงแม้จะถูกโจมตีอย่างต่อเนื่อง

ที่มา: https://securingtomorrow.mcafee.com/mcafee-labs/ssl-death-alert-cve-2016-8610-can-cause-denial-of-service-to-openssl-servers/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Adobe Summit 2023: ขับเคลื่อนการเติบโตด้วย “ประสบการณ์” [Guest Post]

• อะโดบีเปิดตัวนวัตกรรมมากมายสำหรับ Adobe Experience Cloud โดยเน้นบริการใหม่ด้าน generative AI, personalization, การจัดการด้านคอนเทนต์ และการวิเคราะห์ผลิตภัณฑ์ รวมถึงโซลูชั่น Content Supply Chain …

IBM Business Automation โซลูชั่นเพื่อปรับปรุงกระบวนการธุรกิจด้วยการผสมผสานระบบ BPM, ECM และ Case Manager [Guest Post]

บทความนี้จะแนะนำการใช้ IBM Business Automation เพื่อปรับปรุงกระบวนการธุรกิจภายในองค์กร โดยเน้นไปที่ระบบ Business Process Management (BPM) Enterprise Content Management (ECM) และ …