Tags:
Node Thumbnail

OpenSSL ไลบรารีเข้ารหัสยอดนิยมออกรุ่น 1.1.1 เป็นรุ่น LTS ซัพพอร์ตระยะยาว 5 ปี โดยมีฟีเจอร์สำคัญคือการรองรับ TLS 1.3

ภายในมีความเปลี่ยนแปลงตัวสร้างเลขสุ่ม โดยตัวเริ่มต้นจะเป็น AES-CTR DRBG ตามมาตรฐาน NIST SP 800-90Ar1 (รุ่นถอดการเข้ารหัส Dual_EC_DRBG ของ NSA ไปแล้ว) สำหรับกระบวนการเข้ารหัส รองรับกระบวนการใหม่ๆ หลายตัว เช่นแฮช SHA3, ลายเซ็นดิจิตอล Ed25519 และ Ed448, SipHash

ในส่วนของ TLS 1.3 ในโค้ดรองรับ ciphersuite 5 แบบ แต่เปิดเป็นค่าเริ่มต้น 3 แบบ ได้แก่ TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่แล้ว OpenSSL ออกแพตช์อัพเดตความปลอดภัยโดยช่องโหว่สำคัญที่สุดอยู่ที่ระดับ "สูง" แต่ปรากฎว่าแพตช์ชุดหนึ่งกลับสร้างช่องโหว่ระดับวิกฤติขึ้นมา ทำให้ต้องเร่งออกแพตช์อีกครั้ง

แพตช์ที่สร้างปัญหาคือแพตช์อุดช่องโหว่ระดับต่ำ CVE-2016-6307 ที่มีการจองหน่วยความจำมากเกินความจำเป็น ช่องโหว่นี้โจมตีได้จำกัด ในบางกรณีอาจจะนำให้ระบบที่หน่วยความจำจำกัดเกิดซอฟต์แวร์ล่มไปได้

แต่ปรากฎว่าแพตช์กลับสร้างช่องโหว่ use-after-free โดยทั่วไปแล้วช่องโหว่นี้น่าจะทำให้ซอฟต์แวร์แครช แต่มีความเสี่ยงที่แฮกเกอร์จะไปใช้รันโค้ดได้

Tags:
Node Thumbnail

OpenSSL ปล่อยแพตช์ความปลอดภัยชุดเดือนพฤษภาคม โดยมีช่องโหว่ความร้ายแรงสูงสองรายการ

รายการแรกเป็นช่องโหว่การใช้หน่วยความจำของตัวเข้ารหัส ASN.1 จากบั๊กสองบั๊กที่ไม่ใช่บั๊กความปลอดภัย บั๊กแรกเจอตั้งแต่ปีที่แล้วโดยทีมงาน Red Hat และนักวิจัยอิสระ Hanno Böck และอีกบั๊กหนึ่งพบเมื่อต้นเดือนมีนาคมที่ผ่านมา จากการตรวจโค้ดด้วย libFuzzer ทีมงาน Project Zero วิเคราะห์ผลกระทบเมื่อแฮกเกอร์ใช้บั๊กทั้งสองรายการพบว่ามีความร้ายแรงสูงจึงรายงานไปยัง OpenSSL

Tags:
Node Thumbnail

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยเป็นรุ่น 1.0.2f และ 1.0.1r แก้ไขช่องโหว่ระดับสูง คือ CVE-2016-0701 ที่มีความหละหลวมในการเลือกจำนวนเฉพาะเพื่อเชื่อมต่อ Diffie Hellman (DH) ส่งผลให้เมื่อมีการใช้จำนวนเฉพาะเช่นนี้ซ้ำๆ สำหรับการเชื่อมต่อหลายๆ ครั้ง อาจจะทำให้แฮกเกอร์สามารถคำนวณหาค่า exponent ลับที่ใช้ในการเชื่อมต่อออกมาได้ ส่งผลให้สามารถใช้ค่าไปถอดรหัสการเชื่อมต่ออื่นๆ ได้

Tags:
Node Thumbnail

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยชุดใหม่ อุดช่องโหว่ระดับปานกลางและระดับต่ำหลายตัว แต่ที่สำคัญที่สุดคงเป็นการช่องโหว่ Logjam ที่ทำให้ไคลเอนต์ถูกหลอกว่ากำลังเชื่อมต่อแบบปกติ ทั้งที่เป็นการเชื่อมต่อแบบ DHE_EXPORT ที่ความปลอดภัยต่ำ

แนวทางแก้ปัญหาคือโค้ดฝั่งไคลเอนต์ของ OpenSSL จะไม่ยอมรับ การเชื่อมต่อแบบ DH ที่ 512 บิตอีกต่อไป โดยตอนนี้จะยอมรับที่ 768 เป็นขั้นต่ำสุด และเตรียมจะปรับเป็น 1024 บิตในอนาคต

ที่มา - OpenSSL

Tags:
Node Thumbnail

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

Tags:
Node Thumbnail

OpenSSL ประกาศว่าวันพฤหัสที่ 19 มีนาคม ระหว่างเวลา 11.00-15.00 นาฬิกาตามเวลา UTC จะประกาศแพตช์ชุดใหม่แก้บั๊กความปลอดภัยหลายตัว และตัวที่ร้ายแรงที่สุดอยู่ในระดับร้ายแรงสูง

บั๊กนี้ทำให้ OpenSSL ออกรุ่นใหม่เป็น 1.0.2a, 1.0.1m, 1.0.0r, และ 0.9.8zf

ระหว่างนี้ผู้ดูแลระบบควรเตรียมพร้อม หากระบบยังมีแพตช์ไม่ได้อัพเดตควรรีบทดสอบอัพเดตรอรับ OpenSSL รุ่นใหม่

Tags:
Node Thumbnail

มีรายงานว่า Community Health Systems (CHS) บริษัทด้านสาธารณสุขรายใหญ่ของอเมริกาโดนเจาะระบบ และมีข้อมูลผู้ป่วยราว 4.5 ล้านคนถูกขโมย และปัญหาทั้งหมดเกิดจากช่องโหว่ Heartbleed ของซอฟต์แวร์ OpenSSL ที่โด่งดังนั่นเองครับ

บริษัทความปลอดภัย TrustedSec ได้ข้อมูลวงในมาจาก CHS ว่าผู้โจมตีใช้ช่องโหว่ Heartbleed เจาะรหัสผ่านของผู้ใช้ในระบบมาได้ และล็อกอินเข้าไปยังระบบของ CHS ผ่านช่องทาง VPN ของบริษัท จากนั้นก็เข้าไปเจาะระบบภายในต่อจนได้ข้อมูลไปในที่สุด

ระบบที่ CHS ใช้งานเป็นของบริษัทเครือข่าย Juniper ซึ่งออกแพตช์แก้ปัญหา Heartbleed แต่ระยะเวลาระหว่างข่าวช่องโหว่ถูกเผยแพร่ไปจนถึงการติดตั้งแพตช์ กลับกลายเป็นช่องว่างให้แฮ็กเกอร์เจาะเข้ามาได้

Tags:
Node Thumbnail

กูเกิลประกาศไลบรารีที่แยกจาก OpenSSL เป็น BoringSSL มาตั้งแต่กลางปี และพยายามนำมาใช้งานกับ Chrome เป็นโครงการแรกที่ใช้งานนอกกูเกิล จนตอนนี้แพตช์ล่าสุดก็เป็นครั้งที่สามแล้วที่กูเกิลเตรียมจะเปลี่ยนมาใช้ BoringSSL

กระบวนการเปลี่ยนไลบรารี SSL เป็นกระบวนการที่ซับซ้อน มีโครงการภายในที่ได้รับผลกระทบเป็นจำนวนมาก การแพตช์สองรอบก่อนหน้านี้ล้มเหลวเพราะกระทบกับ WebRTC และ WebView

การแพตช์ครั้งล่าสุดมีคอมเมนต์แนบท้ายว่าหากมีใครได้รับผลกระทบให้ถอนแพตช์นี้ออกได้เลยแล้วค่อยคุยกันทีหลัง

Tags:
Node Thumbnail

โครงการ LibreSSL ที่แยกออกมาจาก OpenSSL และดำเนินการโดยมูลนิธิ OpenBSD จากเดิมรองรับเฉพาะ OpenBSD เท่านั้น ตอนนี้ก็เริ่มซัพพอร์ตระบบปฎิบัติการอื่นๆ โดยชุดแรกที่ซัพพอร์ตได้แก่ ลินุกซ์, Solaris, และ OS X

OpenSSL เดิมซัพพอร์ตแพลตฟอร์มจำนวนมาก รวมถึงระบบปฎิบัติการที่ไม่ค่อยได้รับความนิยมแล้ว เช่น OS/2, VMS, NetWare หรือกระทั่ง DOS การรองรับแพลตฟอร์มเก่าๆ จำนวนมากทำให้มีโค้ดที่ต้องแฮกอยู่มากมายในโครงการเป็นต้นเหตุของบั๊กหลายตัว

นอกจากปรับแนวทางการทำงานมาเป็นการซัพพอร์ตเฉพาะระบบปฎิบัติการยุคใหม่ LibreSSL ยังปรับสไตล์การเขียนโค้ดจากเดิมที่ไม่มีการควบคุมมากนัก มาเป็น Kernel Normal Form (KNF)

Tags:
Node Thumbnail

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

Tags:
Node Thumbnail

กูเกิลเพิ่งออก Android 4.4.3 มาไม่นาน ล่าสุดมี 4.4.4 (KTU84P) ตามมาอีกแล้วครับ เวอร์ชันนี้เป็นการแก้ช่องโหว่ความปลอดภัยล่าสุดที่พบใน OpenSSL เพียงอย่างเดียว (คนละบั๊กกับ Heartbleed ที่แก้ไปแล้วใน 4.4.3)

ตอนนี้อุปกรณ์ที่ได้อัพเดต 4.4.4 แบบ OTA ยังมีแค่ตัวเดียวคือ Nexus 5 แต่กูเกิลก็ออก factory image ของ Nexus 4, Nexus 7 และ Nexus 10 มาแล้วเช่นกัน ใครใจร้อนอยากอัพเองก็สามารถดาวน์โหลดได้ตามลิงก์ที่มาครับ

Tags:
Node Thumbnail

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

Tags:
Node Thumbnail

ปัญหา Heartbleed ส่งผลสะเทือนอย่างรุนแรงไปทั่วโลกไอที แต่สุดท้ายแล้ว เว็บไซต์และหน่วยงานจำนวนมากก็ไม่มีทางเลือกอื่นนอกจาก OpenSSL อยู่ดี

ปัญหาอย่างหนึ่งของ OpenSSL คือมีงบประมาณและทรัพยากรน้อยมาก ปัจจุบันมูลนิธิ OpenSSL Software Foundation ได้รับเงินบริจาคเพียงปีละ 2,000 ดอลลาร์ และมีพนักงานทำงานเต็มเวลาเพียงคนเดียว

Tags:
Node Thumbnail

ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL

Tags:
Node Thumbnail

ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด

ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%

Tags:
Node Thumbnail

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

Tags:
Node Thumbnail

บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ

การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้

Tags:
Node Thumbnail

ในขณะที่วงการความปลอดภัยบนโลกเทคโนโลยีสารสนเทศกำลังสั่นสะท้านเพราะบั๊ก Heartbleed ของซอฟต์แวร์ชื่อ OpenSSL ซึ่งเป็นซอฟต์แวร์เปิดให้ดาวน์โหลดไปใช้ได้ฟรีจึงได้รับความนิยมเป็นจำนวนมากนั้น ดูเหมือนว่าหน่วยงานความมั่นคงสหรัฐฯ หรือ NSA จะรู้เรื่องนี้ก่อนหน้าเรามานานแล้ว

Tags:
Node Thumbnail

บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว

ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco

Tags:
Node Thumbnail

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย

เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า

โดยเบื้องต้นมีรายชื่อของบริการที่ควรเปลี่ยนรหัสผ่านแน่ๆ ดังนี้

Tags:
Node Thumbnail

พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที

OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้