แพตช์ล่าสุดสำหรับ OpenSSL มาแล้ว
โครงการ OpenSSL ได้มีการประกาศแพตช์ด้านความปลอดภัยล่าสุดสำหรับซอฟต์แวร์ OpenSSL ในวันที่ 2 พฤศจิกายนที่ผ่านมา โดยแพตช์ในรอบนี้นั้นปิดช่องโหว่สองช่องโหว่ที่ระดับความรุนแรงปานกลางและต่ำ โดยมีรายละเอียดของช่องโหว่ดังนี้
ช่องโหว่แรกรหัส CVE-2017-3736 เป็นช่องโหว่ในกระบวนการคำนวณหาค่าตัวเลขที่มีขนาดใหญ่อย่างรวดเร็วซึ่งถูกคิดค้นโดย Peter Montgomery ช่องโหว่นี้ถูกรายงานว่าไม่กระทบต่อกระบวนการสร้างคีย์ในอัลกอริธึมที่อยู่บนพื้นฐานของ Elliptic-curve แต่ส่งผลกระทบ "ในระดับที่น้อยมากและเป็นไปได้ยากมากๆ ที่จะโจมตี" กับ RSA และ DSA และจะส่งผลกระทบในระบบที่ใช้โปรเซสเซอร์ที่มีส่วนเสริม BMI1, BMI2 และ ADX อาทิ Intel Broadwell และ AMD Ryzen เท่านั้น
ช่องโหว่ที่สองรหัส CVE-2017-3735 เป็นช่องโหว่ one-byte buffer overread หากมีการกำหนดค่าในฟิลด์ IPAddressFamily ของ certificate แบบ X.509 ที่ไม่เหมาะสม ซึ่งอาจส่งผลกระทบต่อการแสดงข้อมูลเมื่อมีการเรียก certificate มาดูได้
ทั้งสองช่องโหว่สามารถแพตช์ได้ผ่านการอัพเดตซอฟต์แวร์ โดยสำหรับผู้ใช้งานที่ใช้รุ่น 1.1.0 ให้ทำการอัพดตไปเป็น 1.1.0g และสำหรับผู้ใช้งานที่ใช้รุ่น 1.0.2 ให้ทำการอัพเดตไปเป็น 1.0.2m
ที่มา openssl
You must be logged in to post a comment.