Tags:
Node Thumbnail

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

สำหรับบั๊กใน GnuTLS พบบั๊กที่ร้ายแรงสองตัวได้แก่ CVE-2014-3466 ที่แฮกเกอร์สามารถสร้างแพ็กเก็ต ServerHello เพื่อโจมตีให้ซอฟต์แวร์ที่ใช้ GnuTLS แครชไปได้ หรือกระทั่งสามารถรันโค้ดที่มุ่งร้ายในเครื่องของเราได้ อีกบั๊กหนึ่งคือ CVE-2014-0092 ที่คนร้ายสามารถสร้างใบรับรองเพื่อข้ามระบบการตรวจสอบใบรับรองได้ คนร้ายที่อาศัยบั๊กนี้จะสามารถคั่นกลางการเชื่อมต่อ SSL แล้วส่งใบรับรองปลอมมายังเครื่องของเราโดยที่ GnuTLS บอกว่าเป็นของจริง

แพตซ์สำหรับบั๊กเหล่านี้ออกมาแล้ว ตอนนี้ผู้ดูแลระบบทุกคนก็ควรรีบอัพเดตกันครับ

ที่มา - OpenSSL, GnuTLS, SC Magazine, The Register

Get latest news from Blognone

Comments

By: nat3738
ContributorAndroidRed HatUbuntu
on 6 June 2014 - 12:37 #710762

CVE-2014-3466 นี่มันกระทบ client-side คงจะแพทช์เองยากกระมัง

By: LazarusSP1
ContributoriPhone
on 6 June 2014 - 19:23 #710875
LazarusSP1's picture

สงสัยยังไม่เข็ดกับ heartbleed