Breaking News

OpenSSL ออกแพทช์ใหม่ อุดช่องโหว่ DoS

เมื่อเช้าที่ผ่านมา OpenSSL ประกาศออกแพทช์อัปเดตใหม่ สำหรับแก้ไขบั๊ก Denial-of-service 3 รายการ ดังนี้

CVE-2017-3731: พบโดย Robert Święcki จาก Google เป็นช่องโหว่ที่พบเฉพาะบาง Cipher ที่ใช้ บน SSL/TLS Server แบบ 32 bits โดย Packet ที่ถูกหั่นอาจทำให้ระบบหยุดทำงานเนื่องจากเกิดการอ่านข้อมูลที่อยู่นอกขอบเขตของ Packet เวอร์ชันที่ได้รับผลกระทบประกอบด้วย OpenSSL 1.1.0 ที่ใช้ CHACHA20/POLY1305 และ OpenSSL 1.0.2 ที่ใช้ RC4-MD5 แนะนำให้อัปเดตเป็นเวอร์ชัน OpenSSL 1.1.0d และ 1.0.2k ตามลำดับ

CVE-2017-3730: Client อาจหยุดทำงานเนื่องจากพยายามอ้างถึง NULL Pointer ถ้า Server มีการใช้พารามิเตอร์ของ Diffie Hellman ที่ไม่พึงประสงค์บนโหมด DHE/ECDHE ช่องโหว่นี้ส่งผลกระทบเฉพาะบน OpenSSL 1.1.0 และถูกแก้ไขในเวอร์ชัน 1.1.0d

CVE-2017-3732: ช่องโหว่บน x86_64 Montgomery Squaring Procedure ซึ่งแก้ไขใน OpenSSL เวอร์ชัน 1.1.0d และ 1.0.2k อย่างไรก็ตาม OpenSSL ระบุว่าช่องโหว่นี้ค่อนข้างยากต่อการโจมตี

รายละเอียดเพิ่มเติมสามารถดูได้ที่ OpenSSL Security Advisory [26 Jan 2017]

ที่มา: https://www.theregister.co.uk/2017/01/31/openssl_patches/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Apple จับมือ Google พัฒนาระบบแจ้งเตือนความเสี่ยง COVID-19 บน iPhone และ Android

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19

TechTalk Webinar: Digital Workforce: The game changer now and COVID afterward โดย STelligence

TechTalkThai ขอเรียนเชิญ CIO, CTO, COO, IT Manager, ผู้จัดการในส่วนต่างๆ ของธุรกิจ, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "Digital Workforce: The game changer now and COVID afterward โดย STelligence" เพื่อร่วมรับฟังถึงทิศทางในอนาคตของโลกธุรกิจจากการมาของ Digital Workforce ที่จะเปลี่ยนวิธีการทำงานไปอย่างสิ้นเชิง พร้อมแนะนำเทคโนโลยีที่เกี่ยวข้อง ในวันศุกร์ที่ 17 เมษายน 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้