พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที
OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้
การที่แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำได้ทำให้แฮกเกอร์อาจจะอ่าน private key ของการเข้ารหัส รายชื่อผู้ใช้ในระบบสำหรับข้อมูลอื่นๆ และข้อมูลสำคัญอื่นๆ เดเบียนจัดให้บั๊กนี้มีความร้ายแรงระดับ grave ซึ่งเป็นขั้นรองสุดท้ายถัดจาก critical
บั๊กนี้พบโดยทีมวิศวกรความปลอดภัยของ Codenomicon และฝ่ายความปลอดภัยของกูเกิล หมายเลข CVE-2014-0160 คงต้องรออีกพักใหญ่ๆ กว่าจะมีรายละเอียดฉบับเต็มให้อ่านกัน
ที่มา - Heartbleed, Debian Bug Dist, OpenSSL
on
และผู้ดูแลระบบทุกคนควรดาวน์อั
manaeeee Tue, 08/04/2014 - 10:57
และผู้ดูแลระบบทุกคนควรดาวน์อัพเกรดทันที
มีทั้งดาวน์ ทั้งอัพ อัพแอนด์ดาวน์
ออกมาใด้ -> ออกมาได้
Zeball Tue, 08/04/2014 - 11:14
ออกมาใด้ -> ออกมาได้
Heartbeat => Heartbleed
AmidoriA Tue, 08/04/2014 - 22:17
In reply to ออกมาใด้ -> ออกมาได้ by Zeball
Heartbeat => Heartbleed
heartbeat ถูกแล้วครับ
lew Tue, 08/04/2014 - 22:48
In reply to Heartbeat => Heartbleed by AmidoriA
heartbeat ถูกแล้วครับ เป็นชื่อฟีเจอร์ที่ถูกเอามาล้อเป็นชื่อบั๊ก
อ้อ ขอบคุณครับ
AmidoriA Wed, 09/04/2014 - 00:06
In reply to heartbeat ถูกแล้วครับ by lew
อ้อ ขอบคุณครับ
Heartbleed ไม่ใช่หรอครับ
pongmile Fri, 11/04/2014 - 00:54
In reply to heartbeat ถูกแล้วครับ by lew
Heartbleed ไม่ใช่หรอครับ http://en.wikipedia.org/wiki/Heartbleed_bug
http://www.cnet.com/news/how-to-protect-yourself-from-the-heartbleed-bug/
Heartbeat
Ford AntiTrust Fri, 11/04/2014 - 01:11
In reply to Heartbleed ไม่ใช่หรอครับ by pongmile
Heartbeat ในข่าวคือความสามารถครับ ส่วน Heartbleed คือชื่อบัคของ Heartbeat ไงครับ
ขอบคุณครับ
PaPaSEK Fri, 11/04/2014 - 10:26
In reply to Heartbeat by Ford AntiTrust
ขอบคุณครับ
ไม่รู้ว่าถูกขายเป็น zero day
PaPaSEK Tue, 08/04/2014 - 11:38
ไม่รู้ว่าถูกขายเป็น zero day ไปรึเปล่านะครับ ถ้าขายไปแล้วไม่รู้ว่าขายไปนานเท่าไร
(-__-) แม้แต่ SSL ยัง ...
sompu Tue, 08/04/2014 - 14:04
(-__-) แม้แต่ SSL ยัง ...
โชคดีที่ผมไม่ใช้
Alios Tue, 24/06/2014 - 10:00
โชคดีที่ผมไม่ใช้ ssl..
มันใช่ไหมเนี่ย