Rustls โครงการไลบรารีเข้ารหัสภาษา Rust ที่วางแผนจะทำตัวเป็นไลบรารีทดแทน OpenSSL ออกเวอร์ชั่น 0.23.0 โดยเปลี่ยนไลบรารีระดับล่างมาเป็น AWS Libcrypto for Rust (aws-lc-rs) ฟีเจอร์สำคัญคือการรองรับโหมด FIPS ที่จำเป็นต่อการเชื่อมต่อระบบของรัฐบาลกลางสหรัฐฯ และองค์กรหลายแห่งก็มักต้องการโหมดนี้ตามไปด้วย

OpenSSL ออกเวอร์ชั่น 3.2.0 ตัวจริง โดยเพิ่มฟีเจอร์หลายอย่าง ฟีเจอร์ที่สำคัญที่สุดคือการรองรับ QUIC หรือ RFC9000 เปิดทางให้โปรแกรม์ต่างๆ ที่ใช้ OpenSSL เชื่อมต่อกับเซิร์ฟเวอร์ได้เร็วขึ้น

การที่ OpenSSL เพิ่งรองรับ QUIC ครั้งนี้ก็นับว่าช้ากว่ามาตรฐานถึงสองปีครึ่ง ขณะที่เบราว์เซอร์ต่างๆ มักรองรับ QUIC กันล่วงหน้าตั้งแต่มาตรฐานจริงยังไม่ออกมา และ OpenSSL นั้นเป็นไลบรารีสำหรับเชื่อมต่อเท่านั้น ไม่สามารถใช้งานเป็น HTTP/3 client ได้ แม่จะเปิดการเชื่อมต่อได้ก็ตาม

โครงการ OpenSSL ไลบรารีพื้นฐานสำหรับเข้ารหัสเพื่อสื่อสารตามโปรโตคอล SSL/TLS ประกาศหยุดซัพพอร์ต (End of Life) เวอร์ชัน 1.1.1 ซึ่งถือเป็นการสิ้นสุดของสาย OpenSSL 1.x

OpenSSL 1.1.1 เป็นเวอร์ชันซัพพอร์ตระยะยาว (LTS) ที่ออกมาตั้งแต่ปี 2018 มีระยะเวลาซัพพอร์ตนาน 5 ปีเต็ม ตอนนี้สิ้นสุดแล้วตามแผนการที่ประกาศไว้เมื่อ 5 ปีก่อน

ผู้ใช้งานจำเป็นต้องอัพเกรดไปใช้ OpenSSL 3.x โดยมีทางเลือก 2 ทางคือ

• OpenSSL 3.0 LTS ซัพพอร์ตถึงเดือนกันยายน 2026
• OpenSSL 3.1 ซัพพอร์ตถึงเดือนมีนาคม 2025

ที่มา - OpenSSL via The Register

OpenSSL ออกอัพเดต 3.0.7 ตามที่ประกาศไว้ก่อนหน้านี้ อย่างไรก็ดีทางโครงการระบุว่าเมื่อวิเคราะห์ช่องโหว่แล้วพบว่าการโจมตีทำได้ยากกว่าที่คิดตอนแรก ทำให้ความร้ายแรงจากระดับวิกฤติเหลือระดับร้ายแรงสูง

โครงการ Fedora ประกาศเลื่อนการออก Fedora 37 เป็นกรณีพิเศษ เนื่องจากช่องโหว่ระดับวิกฤตของ OpenSSL ที่จะเปิดเผยต่อสาธารณะในวันอังคารหน้า ทำให้ทีม Fedora ตัดสินใจรอแพตช์ OpenSSL ให้เรียบร้อยก่อนออกเวอร์ชัน 37 ตัวจริง (เดิมมีกำหนดออก 8 พฤศจิกายน)

ทีม Fedora บอกว่าตอนนี้ยังไม่รู้ข้อมูลที่ชัดเจนว่าช่องโหว่ OpenSSL ร้ายแรงแค่ไหน แต่การที่ระดับของช่องโหว่เป็น critical ทำให้ทีมงานตัดสินใจรอแพตช์ก่อน เพื่อลดผลกระทบของการใช้ดิสโทรที่มีช่องโหว่ติดไปด้วย ซึ่งเป็นการตัดสินใจเลือกระหว่างเวลา-คุณภาพ

เบื้องต้นทีมงานคาดว่าจะออก Fedora 37 ในวันที่ 15 พฤศจิกายน แต่ก็ต้องรอข้อมูลแพตช์อีกครั้ง

OpenSSL ประกาศแจ้งเตือนล่วงหน้าว่าโครงการกำลังออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ระดับวิกฤติ โดยช่องโหว่นี้กระทบ OpenSSL ในตระกูล 3.0 เท่านั้น และจะออกแพตช์เป็น OpenSSL 3.0.7

เวลาที่ออกแพตช์คือวันที่ 1 พฤศจิกายนที่จะถึงนี้ ช่วงเวลาระหว่าง 2 ทุ่มถึงเที่ยงคืนตามเวลาประเทศไทย

โครงการ Node.js ประกาศเลื่อนวันหมดอายุของ Node.js 16 LTS รุ่นปัจจุบัน ให้เร็วกว่าเดิม 7 เดือน จากเดิมหมดระยะซัพพอร์ตเดือนเมษายน 2024 มาเป็น 11 กันยายน 2023

เหตุผลเป็นเพราะ Node.js 16 ใช้ไลบรารีเข้ารหัส OpenSSL เวอร์ชัน 1.1.1 ที่จะหมดระยะซัพพอร์ต 11 กันยายน 2023 ดังนั้นหากปล่อยให้ OpenSSL 1.1.1 หมดระยะซัพพอร์ตไปก่อน Node.js 16 ช่วงเวลาที่เหลื่อมกันอาจมีความเสี่ยงเรื่องความปลอดภัยได้ เพราะ OpenSSL 1.1.1 จะไม่มีแพตช์ใหม่อีกแล้ว ทีมงานจึงตัดสินใจให้ Node.js 16 หมดอายุพร้อมกันไปเลย

Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ CVE-2022-0778 ที่ใบรับรองเข้ารหัสที่ออกแบบมาเฉพาะสามารถกระตุ้นให้ฟังก์ชั่น BN_mod_sqrt รันเป็นลูปไม่รู้จบได้ ส่งผลให้ซอฟต์แวร์ที่เปิดรับการเชื่อมต่อแบบเข้ารหัสผ่านอินเทอร์เน็ตถูกคนร้ายยิงจนค้างได้

ช่องโหว่นี้อยู่ในฟังก์ชั่นส่วนการอ่านค่าพารามิเตอร์ของ elliptic curve จึงกระทบทั้งไคลเอนต์ที่มักอ่านใบรับรองเข้ารหัสของเซิร์ฟเวอร์ และเซิร์ฟเวอร์ที่หลายครั้งยืนยันตัวตนผู้ใช้ด้วยใบรับรองเช่นกัน

เมื่อสัปดาห์ที่ผ่านมามีรายงานถึงช่องโหว่ของตัวถอดรหัสข้อมูลแบบ SM2 (ShangMi) ที่เสนอโดยหน่วยงานมาตรฐานอุตหสากรรมจีน ใน OpenSSL เปิดทางให้แฮกเกอร์ที่ส่งข้อมูลเข้ารหัสที่ออกแบบมาเฉพาะ จนอาจจะรันโค้ดในเครื่องของเหยื่อได้

เนื่องจากเป็นช่องโหว่ของ OpenSSL ที่อ่านค่าผิดพลาด ทำให้ลินุกซ์จำนวนมากที่คอมไพล์ OpenSSL โดยเปิดใช้งาน SM2 ได้รับผลกระทบไปทั้งหมด ตอนนี้ลินุกซ์ที่ยืนยันว่าได้รับผลกระทบ เช่น Ubuntu 18.04 ขึ้นไป, SUSE Linux Enterprise 15, openSUSE Leap 15.2 ขึ้นไป, Debian (stretch, buster, bullseye, bookworm, sid), ตลอดจนลินุกซ์ใน Synology และ QNAP

ลินุกซ์ส่วนมากออกแพกเกจรุ่นอุดช่องโหว่เรียบร้อยแล้ว ขณะที่บางดิสโทรยังอยู่ระหว่างการพัฒนาแพตช์ เช่น Synology และ QNAP

ช่วงหลังเราเห็นความนิยมใช้ภาษา Rust ทดแทน C ด้วยเหตุผลด้านความปลอดภัย เพราะมีฟีเจอร์ memory safety ที่ตัวภาษาเอง ตัวอย่างที่สำคัญคือ Android จะเริ่มใช้ Rust เขียนบางส่วนของ OS แล้ว

ถ้าไม่นับระดับของ OS โครงการหนึ่งที่เป็นหัวหอกในเรื่องนี้คือ Rustls ไลบรารีที่เขียนขึ้นมาใช้แทน OpenSSL ซึ่งเป็นไลบรารีสำคัญของโลกซอฟต์แวร์ เพราะถูกใช้ในการเชื่อมต่อแบบปลอดภัย (SSL/TLS) แต่ตัว OpenSSL เขียนด้วย C จึงมีบั๊กหรือช่องโหว่หน่วยความจำอยู่มาก ตัวอย่างที่โดดเด่นคือ กรณีของบั๊ก Hearthbleed ที่สร้างผลกระทบไปทั่วโลกในช่วงปี 2014

OpenSSL ออกแพตช์เวอร์ชั่น 1.1.1k แก้ไขช่องโหว่ร้ายแรงสูงสองรายการที่เปิดทางให้แฮกเกอร์ออกใบรับรองปลอม และอาจทำเซิร์ฟเวอร์แครช

ช่องโหว่ CVE-2021-3450 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์ใช้ใบรับรองทั่วไปทำตัวเป็น certification authority (CA) แล้วนำไปรับรองใบรับรองอื่นๆ ได้ เปิดทางให้แฮกเกอร์สร้างใบรับรองสำหรับโดเมนอื่นๆ ที่ไม่ได้เป็นเจ้าของเอง แม้ช่องโหว่นี้จะร้ายแรง แต่ไคลเอนต์ที่จะได้รับผลกระทบต้องเปิดฟีเจอร์ X509_V_FLAG_X509_STRICT ซึ่งค่าเริ่มต้นไม่ได้เปิดเอาไว้

OpenSSL รายงานถึงช่องโหว่ CVE-2020-1968 หรือ Racoon Attack ที่เป็นช่องโหว่ของตัวมาตรฐานการเข้ารหัส TLS เอง ทำให้ไลบรารีที่ใช้กระบวนการแลกเปลี่ยนกุญแจแบบ Diffie-Hellman โดยใช้ค่าความลับแบบคงที่ (pre-master secret) ถูกดักฟังการสื่อสารที่เข้ารหัสไว้ได้ หากคนร้ายเก็บข้อมูลจากการเชื่อมต่อได้หลายๆ ครั้งและใช้ค่าความลับเดียวกันทั้งหมด

ช่องโหว่นี้ไม่กระทบ OpenSSL เวอร์ชั่น 1.1.1 ขึ้นไปเพราะได้ถอดกระบวนการเข้ารหัสที่เข้าข่ายไปทั้งหมดแล้ว ที่น่ากังวลคือ OpenSSL 1.0.2 ที่หมดซัพพอร์ตไปแล้วแต่ยังรองรับกระบวนการเข้ารหัสที่มีช่องโหว่เหล่านี้ พร้อมกับตั้งค่าเริ่มต้นไว้จนได้รับผลกระทบทั้งหมด และทาง OpenSSL จะปล่อยอัพเดต OpenSSL 1.0.2w ให้กับลูกค้าที่ซื้อซัพพอร์ตเท่านั้น

OpenSSL ออกแพตช์ความปลอดภัยเวอร์ชั่น 1.1.1g แก้ช่องโหว่ที่คนร้ายสามารถแครชเซิร์ฟเวอร์ได้จากระยะไกล โดยความพิเศษของการออกแพตช์ครั้งนี้คือ Bernd Edlinger ผู้รายงานช่องโหว่พบช่องโหว่จากระบบวิเคราะห์โค้ดของ GCC 10

OpenSSL ไลบรารีเข้ารหัสยอดนิยมออกรุ่น 1.1.1 เป็นรุ่น LTS ซัพพอร์ตระยะยาว 5 ปี โดยมีฟีเจอร์สำคัญคือการรองรับ TLS 1.3

ภายในมีความเปลี่ยนแปลงตัวสร้างเลขสุ่ม โดยตัวเริ่มต้นจะเป็น AES-CTR DRBG ตามมาตรฐาน NIST SP 800-90Ar1 (รุ่นถอดการเข้ารหัส Dual_EC_DRBG ของ NSA ไปแล้ว) สำหรับกระบวนการเข้ารหัส รองรับกระบวนการใหม่ๆ หลายตัว เช่นแฮช SHA3, ลายเซ็นดิจิตอล Ed25519 และ Ed448, SipHash

ในส่วนของ TLS 1.3 ในโค้ดรองรับ ciphersuite 5 แบบ แต่เปิดเป็นค่าเริ่มต้น 3 แบบ ได้แก่ TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256

เมื่อสัปดาห์ที่แล้ว OpenSSL ออกแพตช์อัพเดตความปลอดภัยโดยช่องโหว่สำคัญที่สุดอยู่ที่ระดับ "สูง" แต่ปรากฎว่าแพตช์ชุดหนึ่งกลับสร้างช่องโหว่ระดับวิกฤติขึ้นมา ทำให้ต้องเร่งออกแพตช์อีกครั้ง

แพตช์ที่สร้างปัญหาคือแพตช์อุดช่องโหว่ระดับต่ำ CVE-2016-6307 ที่มีการจองหน่วยความจำมากเกินความจำเป็น ช่องโหว่นี้โจมตีได้จำกัด ในบางกรณีอาจจะนำให้ระบบที่หน่วยความจำจำกัดเกิดซอฟต์แวร์ล่มไปได้

แต่ปรากฎว่าแพตช์กลับสร้างช่องโหว่ use-after-free โดยทั่วไปแล้วช่องโหว่นี้น่าจะทำให้ซอฟต์แวร์แครช แต่มีความเสี่ยงที่แฮกเกอร์จะไปใช้รันโค้ดได้

OpenSSL ปล่อยแพตช์ความปลอดภัยชุดเดือนพฤษภาคม โดยมีช่องโหว่ความร้ายแรงสูงสองรายการ

รายการแรกเป็นช่องโหว่การใช้หน่วยความจำของตัวเข้ารหัส ASN.1 จากบั๊กสองบั๊กที่ไม่ใช่บั๊กความปลอดภัย บั๊กแรกเจอตั้งแต่ปีที่แล้วโดยทีมงาน Red Hat และนักวิจัยอิสระ Hanno Böck และอีกบั๊กหนึ่งพบเมื่อต้นเดือนมีนาคมที่ผ่านมา จากการตรวจโค้ดด้วย libFuzzer ทีมงาน Project Zero วิเคราะห์ผลกระทบเมื่อแฮกเกอร์ใช้บั๊กทั้งสองรายการพบว่ามีความร้ายแรงสูงจึงรายงานไปยัง OpenSSL

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

OpenSSL ออกแพตช์ความปลอดภัยเป็นรุ่น 1.0.2f และ 1.0.1r แก้ไขช่องโหว่ระดับสูง คือ CVE-2016-0701 ที่มีความหละหลวมในการเลือกจำนวนเฉพาะเพื่อเชื่อมต่อ Diffie Hellman (DH) ส่งผลให้เมื่อมีการใช้จำนวนเฉพาะเช่นนี้ซ้ำๆ สำหรับการเชื่อมต่อหลายๆ ครั้ง อาจจะทำให้แฮกเกอร์สามารถคำนวณหาค่า exponent ลับที่ใช้ในการเชื่อมต่อออกมาได้ ส่งผลให้สามารถใช้ค่าไปถอดรหัสการเชื่อมต่ออื่นๆ ได้

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

OpenSSL ออกแพตช์ความปลอดภัยชุดใหม่ อุดช่องโหว่ระดับปานกลางและระดับต่ำหลายตัว แต่ที่สำคัญที่สุดคงเป็นการช่องโหว่ Logjam ที่ทำให้ไคลเอนต์ถูกหลอกว่ากำลังเชื่อมต่อแบบปกติ ทั้งที่เป็นการเชื่อมต่อแบบ DHE_EXPORT ที่ความปลอดภัยต่ำ

แนวทางแก้ปัญหาคือโค้ดฝั่งไคลเอนต์ของ OpenSSL จะไม่ยอมรับ การเชื่อมต่อแบบ DH ที่ 512 บิตอีกต่อไป โดยตอนนี้จะยอมรับที่ 768 เป็นขั้นต่ำสุด และเตรียมจะปรับเป็น 1024 บิตในอนาคต

ที่มา - OpenSSL

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

OpenSSL ประกาศว่าวันพฤหัสที่ 19 มีนาคม ระหว่างเวลา 11.00-15.00 นาฬิกาตามเวลา UTC จะประกาศแพตช์ชุดใหม่แก้บั๊กความปลอดภัยหลายตัว และตัวที่ร้ายแรงที่สุดอยู่ในระดับร้ายแรงสูง

บั๊กนี้ทำให้ OpenSSL ออกรุ่นใหม่เป็น 1.0.2a, 1.0.1m, 1.0.0r, และ 0.9.8zf

ระหว่างนี้ผู้ดูแลระบบควรเตรียมพร้อม หากระบบยังมีแพตช์ไม่ได้อัพเดตควรรีบทดสอบอัพเดตรอรับ OpenSSL รุ่นใหม่

มีรายงานว่า Community Health Systems (CHS) บริษัทด้านสาธารณสุขรายใหญ่ของอเมริกาโดนเจาะระบบ และมีข้อมูลผู้ป่วยราว 4.5 ล้านคนถูกขโมย และปัญหาทั้งหมดเกิดจากช่องโหว่ Heartbleed ของซอฟต์แวร์ OpenSSL ที่โด่งดังนั่นเองครับ

บริษัทความปลอดภัย TrustedSec ได้ข้อมูลวงในมาจาก CHS ว่าผู้โจมตีใช้ช่องโหว่ Heartbleed เจาะรหัสผ่านของผู้ใช้ในระบบมาได้ และล็อกอินเข้าไปยังระบบของ CHS ผ่านช่องทาง VPN ของบริษัท จากนั้นก็เข้าไปเจาะระบบภายในต่อจนได้ข้อมูลไปในที่สุด

ระบบที่ CHS ใช้งานเป็นของบริษัทเครือข่าย Juniper ซึ่งออกแพตช์แก้ปัญหา Heartbleed แต่ระยะเวลาระหว่างข่าวช่องโหว่ถูกเผยแพร่ไปจนถึงการติดตั้งแพตช์ กลับกลายเป็นช่องว่างให้แฮ็กเกอร์เจาะเข้ามาได้

กูเกิลประกาศไลบรารีที่แยกจาก OpenSSL เป็น BoringSSL มาตั้งแต่กลางปี และพยายามนำมาใช้งานกับ Chrome เป็นโครงการแรกที่ใช้งานนอกกูเกิล จนตอนนี้แพตช์ล่าสุดก็เป็นครั้งที่สามแล้วที่กูเกิลเตรียมจะเปลี่ยนมาใช้ BoringSSL

กระบวนการเปลี่ยนไลบรารี SSL เป็นกระบวนการที่ซับซ้อน มีโครงการภายในที่ได้รับผลกระทบเป็นจำนวนมาก การแพตช์สองรอบก่อนหน้านี้ล้มเหลวเพราะกระทบกับ WebRTC และ WebView

การแพตช์ครั้งล่าสุดมีคอมเมนต์แนบท้ายว่าหากมีใครได้รับผลกระทบให้ถอนแพตช์นี้ออกได้เลยแล้วค่อยคุยกันทีหลัง

โครงการ LibreSSL ที่แยกออกมาจาก OpenSSL และดำเนินการโดยมูลนิธิ OpenBSD จากเดิมรองรับเฉพาะ OpenBSD เท่านั้น ตอนนี้ก็เริ่มซัพพอร์ตระบบปฎิบัติการอื่นๆ โดยชุดแรกที่ซัพพอร์ตได้แก่ ลินุกซ์, Solaris, และ OS X

OpenSSL เดิมซัพพอร์ตแพลตฟอร์มจำนวนมาก รวมถึงระบบปฎิบัติการที่ไม่ค่อยได้รับความนิยมแล้ว เช่น OS/2, VMS, NetWare หรือกระทั่ง DOS การรองรับแพลตฟอร์มเก่าๆ จำนวนมากทำให้มีโค้ดที่ต้องแฮกอยู่มากมายในโครงการเป็นต้นเหตุของบั๊กหลายตัว

นอกจากปรับแนวทางการทำงานมาเป็นการซัพพอร์ตเฉพาะระบบปฎิบัติการยุคใหม่ LibreSSL ยังปรับสไตล์การเขียนโค้ดจากเดิมที่ไม่มีการควบคุมมากนัก มาเป็น Kernel Normal Form (KNF)