Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยเวอร์ชั่น 1.1.1g แก้ช่องโหว่ที่คนร้ายสามารถแครชเซิร์ฟเวอร์ได้จากระยะไกล โดยความพิเศษของการออกแพตช์ครั้งนี้คือ Bernd Edlinger ผู้รายงานช่องโหว่พบช่องโหว่จากระบบวิเคราะห์โค้ดของ GCC 10

Tags:
Node Thumbnail

OpenSSL ไลบรารีเข้ารหัสยอดนิยมออกรุ่น 1.1.1 เป็นรุ่น LTS ซัพพอร์ตระยะยาว 5 ปี โดยมีฟีเจอร์สำคัญคือการรองรับ TLS 1.3

ภายในมีความเปลี่ยนแปลงตัวสร้างเลขสุ่ม โดยตัวเริ่มต้นจะเป็น AES-CTR DRBG ตามมาตรฐาน NIST SP 800-90Ar1 (รุ่นถอดการเข้ารหัส Dual_EC_DRBG ของ NSA ไปแล้ว) สำหรับกระบวนการเข้ารหัส รองรับกระบวนการใหม่ๆ หลายตัว เช่นแฮช SHA3, ลายเซ็นดิจิตอล Ed25519 และ Ed448, SipHash

ในส่วนของ TLS 1.3 ในโค้ดรองรับ ciphersuite 5 แบบ แต่เปิดเป็นค่าเริ่มต้น 3 แบบ ได้แก่ TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256

Tags:
Node Thumbnail

เมื่อสัปดาห์ที่แล้ว OpenSSL ออกแพตช์อัพเดตความปลอดภัยโดยช่องโหว่สำคัญที่สุดอยู่ที่ระดับ "สูง" แต่ปรากฎว่าแพตช์ชุดหนึ่งกลับสร้างช่องโหว่ระดับวิกฤติขึ้นมา ทำให้ต้องเร่งออกแพตช์อีกครั้ง

แพตช์ที่สร้างปัญหาคือแพตช์อุดช่องโหว่ระดับต่ำ CVE-2016-6307 ที่มีการจองหน่วยความจำมากเกินความจำเป็น ช่องโหว่นี้โจมตีได้จำกัด ในบางกรณีอาจจะนำให้ระบบที่หน่วยความจำจำกัดเกิดซอฟต์แวร์ล่มไปได้

แต่ปรากฎว่าแพตช์กลับสร้างช่องโหว่ use-after-free โดยทั่วไปแล้วช่องโหว่นี้น่าจะทำให้ซอฟต์แวร์แครช แต่มีความเสี่ยงที่แฮกเกอร์จะไปใช้รันโค้ดได้

Tags:
Node Thumbnail

OpenSSL ปล่อยแพตช์ความปลอดภัยชุดเดือนพฤษภาคม โดยมีช่องโหว่ความร้ายแรงสูงสองรายการ

รายการแรกเป็นช่องโหว่การใช้หน่วยความจำของตัวเข้ารหัส ASN.1 จากบั๊กสองบั๊กที่ไม่ใช่บั๊กความปลอดภัย บั๊กแรกเจอตั้งแต่ปีที่แล้วโดยทีมงาน Red Hat และนักวิจัยอิสระ Hanno Böck และอีกบั๊กหนึ่งพบเมื่อต้นเดือนมีนาคมที่ผ่านมา จากการตรวจโค้ดด้วย libFuzzer ทีมงาน Project Zero วิเคราะห์ผลกระทบเมื่อแฮกเกอร์ใช้บั๊กทั้งสองรายการพบว่ามีความร้ายแรงสูงจึงรายงานไปยัง OpenSSL

Tags:
Node Thumbnail

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยเป็นรุ่น 1.0.2f และ 1.0.1r แก้ไขช่องโหว่ระดับสูง คือ CVE-2016-0701 ที่มีความหละหลวมในการเลือกจำนวนเฉพาะเพื่อเชื่อมต่อ Diffie Hellman (DH) ส่งผลให้เมื่อมีการใช้จำนวนเฉพาะเช่นนี้ซ้ำๆ สำหรับการเชื่อมต่อหลายๆ ครั้ง อาจจะทำให้แฮกเกอร์สามารถคำนวณหาค่า exponent ลับที่ใช้ในการเชื่อมต่อออกมาได้ ส่งผลให้สามารถใช้ค่าไปถอดรหัสการเชื่อมต่ออื่นๆ ได้

Tags:
Node Thumbnail

OpenSSL รายงานช่องโหว่การตรวจสอบใบรับรองที่ไม่ถูกต้อง แต่กลับตรวจสอบว่าใช้งานได้ ความผิดพลาดสำคัญคือการที่ใบรับรองปกติที่ไม่มีสิทธิไปรับรองใบรับรองอื่นอีก เช่น ใบรับรองเว็บไซต์ทั่วไป กลับสามารถไปรับรองใบรับรองอื่นได้ แล้ว OpenSSL ยังคงเชื่อตามการรับรองนั้น

Tags:
Node Thumbnail

OpenSSL ออกแพตช์ความปลอดภัยชุดใหม่ อุดช่องโหว่ระดับปานกลางและระดับต่ำหลายตัว แต่ที่สำคัญที่สุดคงเป็นการช่องโหว่ Logjam ที่ทำให้ไคลเอนต์ถูกหลอกว่ากำลังเชื่อมต่อแบบปกติ ทั้งที่เป็นการเชื่อมต่อแบบ DHE_EXPORT ที่ความปลอดภัยต่ำ

แนวทางแก้ปัญหาคือโค้ดฝั่งไคลเอนต์ของ OpenSSL จะไม่ยอมรับ การเชื่อมต่อแบบ DH ที่ 512 บิตอีกต่อไป โดยตอนนี้จะยอมรับที่ 768 เป็นขั้นต่ำสุด และเตรียมจะปรับเป็น 1024 บิตในอนาคต

ที่มา - OpenSSL

Tags:
Node Thumbnail

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

Tags:
Node Thumbnail

OpenSSL ประกาศว่าวันพฤหัสที่ 19 มีนาคม ระหว่างเวลา 11.00-15.00 นาฬิกาตามเวลา UTC จะประกาศแพตช์ชุดใหม่แก้บั๊กความปลอดภัยหลายตัว และตัวที่ร้ายแรงที่สุดอยู่ในระดับร้ายแรงสูง

บั๊กนี้ทำให้ OpenSSL ออกรุ่นใหม่เป็น 1.0.2a, 1.0.1m, 1.0.0r, และ 0.9.8zf

ระหว่างนี้ผู้ดูแลระบบควรเตรียมพร้อม หากระบบยังมีแพตช์ไม่ได้อัพเดตควรรีบทดสอบอัพเดตรอรับ OpenSSL รุ่นใหม่

Tags:
Node Thumbnail

มีรายงานว่า Community Health Systems (CHS) บริษัทด้านสาธารณสุขรายใหญ่ของอเมริกาโดนเจาะระบบ และมีข้อมูลผู้ป่วยราว 4.5 ล้านคนถูกขโมย และปัญหาทั้งหมดเกิดจากช่องโหว่ Heartbleed ของซอฟต์แวร์ OpenSSL ที่โด่งดังนั่นเองครับ

บริษัทความปลอดภัย TrustedSec ได้ข้อมูลวงในมาจาก CHS ว่าผู้โจมตีใช้ช่องโหว่ Heartbleed เจาะรหัสผ่านของผู้ใช้ในระบบมาได้ และล็อกอินเข้าไปยังระบบของ CHS ผ่านช่องทาง VPN ของบริษัท จากนั้นก็เข้าไปเจาะระบบภายในต่อจนได้ข้อมูลไปในที่สุด

ระบบที่ CHS ใช้งานเป็นของบริษัทเครือข่าย Juniper ซึ่งออกแพตช์แก้ปัญหา Heartbleed แต่ระยะเวลาระหว่างข่าวช่องโหว่ถูกเผยแพร่ไปจนถึงการติดตั้งแพตช์ กลับกลายเป็นช่องว่างให้แฮ็กเกอร์เจาะเข้ามาได้

Tags:
Node Thumbnail

กูเกิลประกาศไลบรารีที่แยกจาก OpenSSL เป็น BoringSSL มาตั้งแต่กลางปี และพยายามนำมาใช้งานกับ Chrome เป็นโครงการแรกที่ใช้งานนอกกูเกิล จนตอนนี้แพตช์ล่าสุดก็เป็นครั้งที่สามแล้วที่กูเกิลเตรียมจะเปลี่ยนมาใช้ BoringSSL

กระบวนการเปลี่ยนไลบรารี SSL เป็นกระบวนการที่ซับซ้อน มีโครงการภายในที่ได้รับผลกระทบเป็นจำนวนมาก การแพตช์สองรอบก่อนหน้านี้ล้มเหลวเพราะกระทบกับ WebRTC และ WebView

การแพตช์ครั้งล่าสุดมีคอมเมนต์แนบท้ายว่าหากมีใครได้รับผลกระทบให้ถอนแพตช์นี้ออกได้เลยแล้วค่อยคุยกันทีหลัง

Tags:
Node Thumbnail

โครงการ LibreSSL ที่แยกออกมาจาก OpenSSL และดำเนินการโดยมูลนิธิ OpenBSD จากเดิมรองรับเฉพาะ OpenBSD เท่านั้น ตอนนี้ก็เริ่มซัพพอร์ตระบบปฎิบัติการอื่นๆ โดยชุดแรกที่ซัพพอร์ตได้แก่ ลินุกซ์, Solaris, และ OS X

OpenSSL เดิมซัพพอร์ตแพลตฟอร์มจำนวนมาก รวมถึงระบบปฎิบัติการที่ไม่ค่อยได้รับความนิยมแล้ว เช่น OS/2, VMS, NetWare หรือกระทั่ง DOS การรองรับแพลตฟอร์มเก่าๆ จำนวนมากทำให้มีโค้ดที่ต้องแฮกอยู่มากมายในโครงการเป็นต้นเหตุของบั๊กหลายตัว

นอกจากปรับแนวทางการทำงานมาเป็นการซัพพอร์ตเฉพาะระบบปฎิบัติการยุคใหม่ LibreSSL ยังปรับสไตล์การเขียนโค้ดจากเดิมที่ไม่มีการควบคุมมากนัก มาเป็น Kernel Normal Form (KNF)

Tags:
Node Thumbnail

หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว

ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ

Tags:
Node Thumbnail

กูเกิลเพิ่งออก Android 4.4.3 มาไม่นาน ล่าสุดมี 4.4.4 (KTU84P) ตามมาอีกแล้วครับ เวอร์ชันนี้เป็นการแก้ช่องโหว่ความปลอดภัยล่าสุดที่พบใน OpenSSL เพียงอย่างเดียว (คนละบั๊กกับ Heartbleed ที่แก้ไปแล้วใน 4.4.3)

ตอนนี้อุปกรณ์ที่ได้อัพเดต 4.4.4 แบบ OTA ยังมีแค่ตัวเดียวคือ Nexus 5 แต่กูเกิลก็ออก factory image ของ Nexus 4, Nexus 7 และ Nexus 10 มาแล้วเช่นกัน ใครใจร้อนอยากอัพเองก็สามารถดาวน์โหลดได้ตามลิงก์ที่มาครับ

Tags:
Node Thumbnail

รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ

บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ

Tags:
Node Thumbnail

ปัญหา Heartbleed ส่งผลสะเทือนอย่างรุนแรงไปทั่วโลกไอที แต่สุดท้ายแล้ว เว็บไซต์และหน่วยงานจำนวนมากก็ไม่มีทางเลือกอื่นนอกจาก OpenSSL อยู่ดี

ปัญหาอย่างหนึ่งของ OpenSSL คือมีงบประมาณและทรัพยากรน้อยมาก ปัจจุบันมูลนิธิ OpenSSL Software Foundation ได้รับเงินบริจาคเพียงปีละ 2,000 ดอลลาร์ และมีพนักงานทำงานเต็มเวลาเพียงคนเดียว

Tags:
Node Thumbnail

ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL

Tags:
Node Thumbnail

ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด

ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%

Tags:
Node Thumbnail

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

Tags:
Node Thumbnail

บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ

การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้

Tags:
Node Thumbnail

ในขณะที่วงการความปลอดภัยบนโลกเทคโนโลยีสารสนเทศกำลังสั่นสะท้านเพราะบั๊ก Heartbleed ของซอฟต์แวร์ชื่อ OpenSSL ซึ่งเป็นซอฟต์แวร์เปิดให้ดาวน์โหลดไปใช้ได้ฟรีจึงได้รับความนิยมเป็นจำนวนมากนั้น ดูเหมือนว่าหน่วยงานความมั่นคงสหรัฐฯ หรือ NSA จะรู้เรื่องนี้ก่อนหน้าเรามานานแล้ว

Tags:
Node Thumbnail

บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว

ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco

Tags:
Node Thumbnail

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย

เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า

โดยเบื้องต้นมีรายชื่อของบริการที่ควรเปลี่ยนรหัสผ่านแน่ๆ ดังนี้

Pages