OpenSSL 1.1.0 และ 1.2.0 Conclusion แพตช์ด้านความปลอดภัย OpenSSL ประจำเดือนธันวาคม 2017 ไม่ค่อยร้ายแรงเท่าไหร่แต่ก็แนะนำให้อัปเดต
โครงการ OpenSSL ประกาศแพตช์ด้านความปลอดภัยประจำเดือนธันวาคม 2017 เมื่อวันพฤหัสที่ผ่านมาโดยในรอบนี้นั้นประกอบไปด้วยแพตช์สำหรับ 2 ช่องโหว่ด้วยกัน
ช่องโหว่แรกรหัส CVE-2017-3737 เป็นช่องโหว่ระดับความร้ายแรงปานกลางที่ส่งผลให้แม้ว่า SSL/TLS connection จะอยู่ในสถานะล้มเหลวในการเชื่อมต่อไปแล้ว โปรแกรมก็อาจสามารถส่งข้อมูลออกไปได้โดยไม่มีการเข้ารหัสที่เหมาะสม ช่องโหว่นี้ไม่กระทบ OpenSSL 1.1.0 ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n
ช่องโหว่ที่สอง CVE-2017-3738 เป็นช่องโหว่ระดับความร้ายแรงต่ำซึ่งเกิดจากการ overflow ในอัลกอริธึมคำนวณจำนวนเฉพาะซึ่งจะเกิดขึ้นบนโปรเซสเซอร์ที่รองรับ AVX2 เท่านั้น ช่องโหว่นี้กระทบ 1.1.0 แต่เนื่องจากความรุนแรงที่ต่ำ แพตช์จะถูกปล่อยมาใน 1.1.0h ซึ่งเป็นรุ่นในอนาคตแทน ส่วนผู้ใช้งานที่ใช้งาน 1.0.2 อยู่แนะนำให้อัปเดตไปที่ 1.0.2n
ที่มา : openssl