OpenSSL แจ้งเตือนช่องโหว่ระดับร้ายแรงสูง โจมตีแบบ Denial of Service ได้

โครงการ OpenSSL ประกาศเวอร์ชันใหม่ของซอฟต์แวร์ OpenSSL พร้อมกับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ที่ถูกแจ้งโดย David Benjamin จาก Google ช่องโหว่ถูกโจมตีและทำให้ระบบที่ใช้งานตกอยู่ในเงื่อนไข Denial of Service (DoS) ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหา null pointer derefence ในการตรวจสอบข้อมูลในใบรับรอง X.509 โดยแฮกเกอร์สามารถสร้างใบรับรองแบบพิเศษ จากนั้นหลอกให้เหยื่อซึ่งใช้ซอฟต์แวร์ OpenSSL ในรุ่นที่มีช่องโหว่ทำการเข้าถึงและตรวจสอบ เหยื่อจะถูกโจมตีและเจอข้อผิดพลาด DoS ได้

ช่องโหว่นี้ส่งผลกระทบกับ OpenSSL ในรุ่น 1.1.1 และ 1.0.2 ผู้ใช้งานควรทำการอัปเกรดเป็น OpenSSL 1.1.1i โดยด่วน

ที่มา: securityweek