By: lew 
on 21 June 2014 - 12:40
Tags:
หลังจากปัญหา Heartbleed ใน OpenSSL สร้างความเสียหายเป็นวงกว้าง ตอนนี้กูเกิลก็เปิดโครงการ BoringSSL ของตัวเองออกสู่สาธารณะแล้ว
ก่อนหน้านี้กูเกิลมีแพตซ์ของ OpenSSL ของตัวเองมาเสมอ แต่อาศัยการดึงโค้ดจาก OpenSSL มาแพตซ์เป็นครั้งๆ ไป จนตอนนี้มีแพตซ์ของกูเกิลเองมากกว่า 70 ชุดที่ต้องรวมเข้ากับโครงการ OpenSSL ทุกครั้งที่มีเวอร์ชั่นใหม่ ตอนนี้กูเกิลตัดสินใจที่จะแยกโครงการออกมาเป็นของตัวเองเพื่อความสะดวกในการจัดการ
- Read more about กูเกิลแตกโครงการ OpenSSL ของตัวเอง ใช้ชื่อ BoringSSL
- 8 comments
- Log in or register to post comments
By: mk on 20 June 2014 - 17:57
Tags:
กูเกิลเพิ่งออก Android 4.4.3 มาไม่นาน ล่าสุดมี 4.4.4 (KTU84P) ตามมาอีกแล้วครับ เวอร์ชันนี้เป็นการแก้ช่องโหว่ความปลอดภัยล่าสุดที่พบใน OpenSSL เพียงอย่างเดียว (คนละบั๊กกับ Heartbleed ที่แก้ไปแล้วใน 4.4.3)
ตอนนี้อุปกรณ์ที่ได้อัพเดต 4.4.4 แบบ OTA ยังมีแค่ตัวเดียวคือ Nexus 5 แต่กูเกิลก็ออก factory image ของ Nexus 4, Nexus 7 และ Nexus 10 มาแล้วเช่นกัน ใครใจร้อนอยากอัพเองก็สามารถดาวน์โหลดได้ตามลิงก์ที่มาครับ
รายงานบั๊กในซอฟต์แวร์เข้ารหัสสัปดาห์นี้สร้างความวิตกเป็นวงกว้างเมื่อทั้งโครงการ OpenSSL และ GnuTLS พบบั๊กสำคัญใกล้ๆ กันทั้งสองโครงการ
บั๊กที่ร้ายแรงที่สุดของ OpenSSL คือบั๊ก CVE-2014-0224 ที่เปิดให้คนร้ายสามารถดักฟังกลางทางได้ หากทั้งไคลเอนต์และเซิร์ฟเวอร์มีบั๊กเดียวกัน โดย OpenSSL รุ่นที่มีปัญหา ได้แก่ 0.9.8, 1.0.0, และ 1.0.1 กระทบวงกว้างทั้งลินุกซ์รุ่นใหม่และเก่า แม้จะไม่ร้ายแรงเท่า Heartbleed แต่ทุกคนควรอัพเกรดครับ
- Read more about อย่าลืมอัพเกรด พบบั๊กสำคัญใน OpenSSL และ GnuTLS
- 2 comments
- Log in or register to post comments
By: mk on 24 April 2014 - 22:18
Tags:
ปัญหา Heartbleed ส่งผลสะเทือนอย่างรุนแรงไปทั่วโลกไอที แต่สุดท้ายแล้ว เว็บไซต์และหน่วยงานจำนวนมากก็ไม่มีทางเลือกอื่นนอกจาก OpenSSL อยู่ดี
ปัญหาอย่างหนึ่งของ OpenSSL คือมีงบประมาณและทรัพยากรน้อยมาก ปัจจุบันมูลนิธิ OpenSSL Software Foundation ได้รับเงินบริจาคเพียงปีละ 2,000 ดอลลาร์ และมีพนักงานทำงานเต็มเวลาเพียงคนเดียว
By: lew on 22 April 2014 - 23:41
Tags:
Topics:
ปัญหา Heartbleed สร้างความไม่พอใจให้กับ Theo de Raadt อย่างมากตั้งแต่วันแรกๆ เขาระบุว่าปัญหา Heartbleed จะไม่รุนแรงเท่านี้หากทีมงาน OpenSSL ออปติไมซ์ประสิทธิภาพอย่างรับผิดชอบ ไม่ข้ามกระบวนการรักษาความปลอดภัยของระบบปฎิบัติการไปจัดการเอง ช่วงไม่กี่วันมานี้ OpenBSD ก็เริ่มเข้าล้างบางโค้ด OpenSSL เวอร์ชั่นของตัวเองอย่างหนัก โดยลบโค้ดสำหรับแพลตฟอร์มอื่นออกไป และปรับแก้สไตล์โค้ดจำนวนมาก ตอนนี้โครงการนี้ได้ชื่อว่า LibreSSL
- Read more about OpenBSD ประกาศแตกโครงการ OpenSSL เป็น LibreSSL
- 9 comments
- Log in or register to post comments
By: lew on 17 April 2014 - 16:43
Tags:
Topics:
ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด
ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%
- Read more about Tor ได้รับผลจาก Heartbleed โหนดจำนวนมากยังคงมีบั๊ก
- 2 comments
- Log in or register to post comments
By: tekkasit 
on 12 April 2014 - 17:57
Tags:
CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ
ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง
By: mk on 12 April 2014 - 17:54
Tags:
บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ
การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้
By: iDan 
on 12 April 2014 - 12:36
Tags:
ในขณะที่วงการความปลอดภัยบนโลกเทคโนโลยีสารสนเทศกำลังสั่นสะท้านเพราะบั๊ก Heartbleed ของซอฟต์แวร์ชื่อ OpenSSL ซึ่งเป็นซอฟต์แวร์เปิดให้ดาวน์โหลดไปใช้ได้ฟรีจึงได้รับความนิยมเป็นจำนวนมากนั้น ดูเหมือนว่าหน่วยงานความมั่นคงสหรัฐฯ หรือ NSA จะรู้เรื่องนี้ก่อนหน้าเรามานานแล้ว
บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว
ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco
By: Ford AntiTrust 
on 11 April 2014 - 12:20
Tags:
By: mk on 10 April 2014 - 22:50
Tags:
จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย
เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า
โดยเบื้องต้นมีรายชื่อของบริการที่ควรเปลี่ยนรหัสผ่านแน่ๆ ดังนี้
By: lew on 8 April 2014 - 10:11
Tags:
Topics:
พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที
OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้
