OpenSSL ออกแพทช์ใหม่ อุดช่องโหว่ DoS

เมื่อเช้าที่ผ่านมา OpenSSL ประกาศออกแพทช์อัปเดตใหม่ สำหรับแก้ไขบั๊ก Denial-of-service 3 รายการ ดังนี้

CVE-2017-3731: พบโดย Robert Święcki จาก Google เป็นช่องโหว่ที่พบเฉพาะบาง Cipher ที่ใช้ บน SSL/TLS Server แบบ 32 bits โดย Packet ที่ถูกหั่นอาจทำให้ระบบหยุดทำงานเนื่องจากเกิดการอ่านข้อมูลที่อยู่นอกขอบเขตของ Packet เวอร์ชันที่ได้รับผลกระทบประกอบด้วย OpenSSL 1.1.0 ที่ใช้ CHACHA20/POLY1305 และ OpenSSL 1.0.2 ที่ใช้ RC4-MD5 แนะนำให้อัปเดตเป็นเวอร์ชัน OpenSSL 1.1.0d และ 1.0.2k ตามลำดับ

CVE-2017-3730: Client อาจหยุดทำงานเนื่องจากพยายามอ้างถึง NULL Pointer ถ้า Server มีการใช้พารามิเตอร์ของ Diffie Hellman ที่ไม่พึงประสงค์บนโหมด DHE/ECDHE ช่องโหว่นี้ส่งผลกระทบเฉพาะบน OpenSSL 1.1.0 และถูกแก้ไขในเวอร์ชัน 1.1.0d

CVE-2017-3732: ช่องโหว่บน x86_64 Montgomery Squaring Procedure ซึ่งแก้ไขใน OpenSSL เวอร์ชัน 1.1.0d และ 1.0.2k อย่างไรก็ตาม OpenSSL ระบุว่าช่องโหว่นี้ค่อนข้างยากต่อการโจมตี

รายละเอียดเพิ่มเติมสามารถดูได้ที่ OpenSSL Security Advisory [26 Jan 2017]

ที่มา: https://www.theregister.co.uk/2017/01/31/openssl_patches/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalkThai คว้ารางวัลในงาน Prime Minister Awards: Thailand Cybersecurity Excellence Award 2022

บริษัทเทคทอล์กไทยกรุ๊ป จำกัด (TechTalkThai) โดยคุณสุธีร์ กิจเจริญการกุล ผู้ร่วมก่อตั้งและประธานบริษัทฯ ได้รับเกียรติเข้ารับมอบโล่รางวัลดีเด่น ในฐานะหน่วยงานให้การสนับสนุนการดำเนินการด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศดีเด่น Cybersecurity Excellence Award (Supporting) ภายในงาน Prime Minister …

Tanium ร่วมกับ Microsoft Intelligent Security Association เพื่อเสริมความแข็งแกร่งให้กับความปลอดภัยด้านไอที

Microsoft และ Tanium จะเปลี่ยนอนาคตของการรักษาความปลอดภัยและการดำเนินงานด้านไอทีสำหรับองค์กร