พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน

By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 April 2014 - 10:11 Tags:
Topics: 
Security
OpenSSL
Heartbleed
Node Thumbnail

พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที

OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้

การที่แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำได้ทำให้แฮกเกอร์อาจจะอ่าน private key ของการเข้ารหัส รายชื่อผู้ใช้ในระบบสำหรับข้อมูลอื่นๆ และข้อมูลสำคัญอื่นๆ เดเบียนจัดให้บั๊กนี้มีความร้ายแรงระดับ grave ซึ่งเป็นขั้นรองสุดท้ายถัดจาก critical

บั๊กนี้พบโดยทีมวิศวกรความปลอดภัยของ Codenomicon และฝ่ายความปลอดภัยของกูเกิล หมายเลข CVE-2014-0160 คงต้องรออีกพักใหญ่ๆ กว่าจะมีรายละเอียดฉบับเต็มให้อ่านกัน

ที่มา - Heartbleed, Debian Bug Dist, OpenSSL

Get latest news from Blognone

Comments

By: manaeeee on 8 April 2014 - 10:57 #693820

และผู้ดูแลระบบทุกคนควรดาวน์อัพเกรดทันที
มีทั้งดาวน์ ทั้งอัพ อัพแอนด์ดาวน์

By: Zeball
iPhoneWindows PhoneAndroidUbuntu
on 8 April 2014 - 11:14 #693822

ออกมาใด้ -> ออกมาได้

By: AmidoriA
UbuntuWindows
on 8 April 2014 - 22:17 #693992 Reply to:693822
AmidoriA's picture

Heartbeat => Heartbleed

By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 April 2014 - 22:48 #693996 Reply to:693992
lew's picture

heartbeat ถูกแล้วครับ เป็นชื่อฟีเจอร์ที่ถูกเอามาล้อเป็นชื่อบั๊ก

lewcpe.com, @wasonliw

By: AmidoriA
UbuntuWindows
on 9 April 2014 - 00:06 #694026 Reply to:693996
AmidoriA's picture

อ้อ ขอบคุณครับ

By: pongmile
ContributorAndroidSymbianWindows
on 11 April 2014 - 00:54 #694553 Reply to:693996
pongmile's picture

Heartbleed ไม่ใช่หรอครับ http://en.wikipedia.org/wiki/Heartbleed_bug
http://www.cnet.com/news/how-to-protect-yourself-from-the-heartbleed-bug/

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 11 April 2014 - 01:11 #694557 Reply to:694553
Ford AntiTrust's picture

Heartbeat ในข่าวคือความสามารถครับ ส่วน Heartbleed คือชื่อบัคของ Heartbeat ไงครับ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 11 April 2014 - 10:26 #694626 Reply to:694557
PaPaSEK's picture

ขอบคุณครับ

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 8 April 2014 - 11:38 #693827
PaPaSEK's picture

ไม่รู้ว่าถูกขายเป็น zero day ไปรึเปล่านะครับ ถ้าขายไปแล้วไม่รู้ว่าขายไปนานเท่าไร

By: sompu
ContributoriPhoneWindows PhoneAndroid
on 8 April 2014 - 14:04 #693868
sompu's picture

(-__-) แม้แต่ SSL ยัง ...

By: Alios
iPhoneAndroidWindows
on 24 June 2014 - 10:00 #715988

โชคดีที่ผมไม่ใช้ ssl..

มันใช่ไหมเนี่ย