OpenSSL ออกแพทช์ใหม่ อุดช่องโหว่ DoS

เมื่อเช้าที่ผ่านมา OpenSSL ประกาศออกแพทช์อัปเดตใหม่ สำหรับแก้ไขบั๊ก Denial-of-service 3 รายการ ดังนี้

CVE-2017-3731: พบโดย Robert Święcki จาก Google เป็นช่องโหว่ที่พบเฉพาะบาง Cipher ที่ใช้ บน SSL/TLS Server แบบ 32 bits โดย Packet ที่ถูกหั่นอาจทำให้ระบบหยุดทำงานเนื่องจากเกิดการอ่านข้อมูลที่อยู่นอกขอบเขตของ Packet เวอร์ชันที่ได้รับผลกระทบประกอบด้วย OpenSSL 1.1.0 ที่ใช้ CHACHA20/POLY1305 และ OpenSSL 1.0.2 ที่ใช้ RC4-MD5 แนะนำให้อัปเดตเป็นเวอร์ชัน OpenSSL 1.1.0d และ 1.0.2k ตามลำดับ

CVE-2017-3730: Client อาจหยุดทำงานเนื่องจากพยายามอ้างถึง NULL Pointer ถ้า Server มีการใช้พารามิเตอร์ของ Diffie Hellman ที่ไม่พึงประสงค์บนโหมด DHE/ECDHE ช่องโหว่นี้ส่งผลกระทบเฉพาะบน OpenSSL 1.1.0 และถูกแก้ไขในเวอร์ชัน 1.1.0d

CVE-2017-3732: ช่องโหว่บน x86_64 Montgomery Squaring Procedure ซึ่งแก้ไขใน OpenSSL เวอร์ชัน 1.1.0d และ 1.0.2k อย่างไรก็ตาม OpenSSL ระบุว่าช่องโหว่นี้ค่อนข้างยากต่อการโจมตี

รายละเอียดเพิ่มเติมสามารถดูได้ที่ OpenSSL Security Advisory [26 Jan 2017]

ที่มา: https://www.theregister.co.uk/2017/01/31/openssl_patches/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้