Tags:
Node Thumbnail

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

บั๊ก FREAK (CVE-2015-0204) เป็นบั๊กของ OpenSSL ร่วมกับการคอนฟิกแบบเก่าๆ ที่เปิดชุดการเข้ารหัสแบบอ่อนแอเอาไว้ แฮกเกอร์จะสามารถบังคับให้ผู้ใช้เชื่อมต่อการเข้ารหัสที่อ่อนแอเหล่านั้นได้ หากอัพเดตบั๊กนี้แม้จะเปิดการเข้ารหัสเหล่านั้นไว้ แฮกเกอร์ก็ไม่สามารถบังคับให้ผู้ใช้ไปเชื่อมต่อด้วยชุดการเข้ารหัสที่่อ่อนแอเหล่านั้นได้อีกต่อไป บั๊กนี้มีผลกับ OpenSSL 3 ตระกูลได้แก่ 1.0.1, 1.0.0, และ 0.9.8

ส่วนบั๊กใหม่คือ ClientHello sigalgs DoS (CVE-2015-0291) เป็นบั๊กที่หากเครื่องไคลเอนต์เชื่อมต่อเข้ามาโดยเลือกใช้กระบวนวิธีที่ไม่ถูกต้อง (invalid signature algorithms) จะทำให้เกิดการคืนหน่วยความจำที่ค่า NULL (NULL pointer dereference) ส่งผลให้โปรเซสเซิร์ฟเวอร์อาจจะล่มไป แฮกเกอร์จะยิงให้บริการล่มได้โดยง่าย บั๊กนี้มีผลเฉพาะรุ่น 1.0.2 เท่านั้น

ในแพตช์ชุดเดียวกันยังมีบั๊กร้ายแรงระดับกลางและต่ำอีกหลายตัว บั๊กบางตัวสามารถทำให้เซิร์ฟเวอร์ล่มได้เหมือนกัน อย่างไรเสียควรรีบติดตั้งแพตช์กันโดยเร็ว

ที่มา - OpenSSL

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 19 March 2015 - 23:07 #800952

Admin กระอักเลือดแล้วครับเจอแบบนี้

By: squareroot
AndroidWindows
on 20 March 2015 - 00:33 #800974
squareroot's picture

patch โดยพิมพ์แค่ apt-get update
apt-get install openssl แค่นี้ได้ไหมครับ สำหรับ Ubuntu 12.04

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 20 March 2015 - 00:51 #800978 Reply to:800974
Ford AntiTrust's picture

มีสองตัวครับ

ถ้าใช้ apt-get ก็ update แล้ว dist-upgrade ครับ จะโผล่มาสองตัว คือ libssl1.0.0 และ openssl

By: Axus
AndroidRed HatUbuntuIn Love
on 20 March 2015 - 09:31 #801062 Reply to:800978

อัพเมื่อเช้า apt-get upgrade ก็มีแล้วนะครับทั้ง2ตัว

By: squareroot
AndroidWindows
on 20 March 2015 - 10:33 #801093 Reply to:800978
squareroot's picture

ขอบคุณทั้งสองท่านนะครับ ^_^