OpenSSL Project fixed high-severity CVE-2020-1967 DoS issue in OpenSSL

OpenSSL แก้ไขช่องโหว่ CVE-2020-1967 ที่เป็นช่องโหว่ในการโจมตี DoS ใน OpenSSL

โครงการ OpenSSL ได้เปิดตัวแพตช์ความปลอดภัยสำหรับ OpenSSL ที่ทำการเเก้ไขช่องโหว่ที่มีความรุนแรงสูงถูกติดตามเป็น CVE-2020-1967 ทำให้ผู้โจมตีสามารถโจมตีแบบปฏิเสธการให้บริการ (DoS) โดยช่องโหว่นี้ถูกค้นพบโดย Bernd Edlinger และได้รายงานต่อ OpenSSL เมื่อวันที่ 7 เมษายน 2020 ที่ผ่านมา

ช่องโหว่ CVE-2020-1967 ช่องโหว่เกิดจากปัญหาการเรียกใช้ฟังก์ชัน SSL_check_chain () ในระหว่างการทำ Handshake กับ TLS 1.3 ที่เกิดการล้มเหลวจึงทำให้ NULL pointer จัดการกับ extension ที่ชื่อ Signature_algorithms_cert บน TLS extension ไม่ถูกต้อง ผู้โจมตีสามารถใช้ประโยชน์จากความผิดพลาดที่เกิดขึ้นได้โดยใช้ peer ที่ออกแบบมาเป็นพิเศษทำการโจมตี ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนเซิร์ฟเวอร์หรือแอปพลิเคชันไคลเอนต์ที่ OpenSSL กำลังทำงานอยู่

ช่องโหว่นี้ส่งผลกระทบต่อ OpenSSL เวอร์ชั่น 1.1.1d, 1.1.1e และ 1.1.1f

การอัพเดตแพตช์
ปัญหาจากช่องโหว่ได้รับการเเก้ไขใน OpenSSL เวอร์ชั่น 1.1.1g ผุ้ใช้งานควรทำการอัพเดตแพตช์เพื่อป้องกันการโจมตี

ที่มา : securityaffairs