OpenSSL ออกแพทช์ใหม่ อุดช่องโหว่ DoS

เมื่อเช้าที่ผ่านมา OpenSSL ประกาศออกแพทช์อัปเดตใหม่ สำหรับแก้ไขบั๊ก Denial-of-service 3 รายการ ดังนี้

CVE-2017-3731: พบโดย Robert Święcki จาก Google เป็นช่องโหว่ที่พบเฉพาะบาง Cipher ที่ใช้ บน SSL/TLS Server แบบ 32 bits โดย Packet ที่ถูกหั่นอาจทำให้ระบบหยุดทำงานเนื่องจากเกิดการอ่านข้อมูลที่อยู่นอกขอบเขตของ Packet เวอร์ชันที่ได้รับผลกระทบประกอบด้วย OpenSSL 1.1.0 ที่ใช้ CHACHA20/POLY1305 และ OpenSSL 1.0.2 ที่ใช้ RC4-MD5 แนะนำให้อัปเดตเป็นเวอร์ชัน OpenSSL 1.1.0d และ 1.0.2k ตามลำดับ

CVE-2017-3730: Client อาจหยุดทำงานเนื่องจากพยายามอ้างถึง NULL Pointer ถ้า Server มีการใช้พารามิเตอร์ของ Diffie Hellman ที่ไม่พึงประสงค์บนโหมด DHE/ECDHE ช่องโหว่นี้ส่งผลกระทบเฉพาะบน OpenSSL 1.1.0 และถูกแก้ไขในเวอร์ชัน 1.1.0d

CVE-2017-3732: ช่องโหว่บน x86_64 Montgomery Squaring Procedure ซึ่งแก้ไขใน OpenSSL เวอร์ชัน 1.1.0d และ 1.0.2k อย่างไรก็ตาม OpenSSL ระบุว่าช่องโหว่นี้ค่อนข้างยากต่อการโจมตี

รายละเอียดเพิ่มเติมสามารถดูได้ที่ OpenSSL Security Advisory [26 Jan 2017]

ที่มา: https://www.theregister.co.uk/2017/01/31/openssl_patches/