โครงการ OpenSSL ประกาศเวอร์ชันใหม่ของซอฟต์แวร์ OpenSSL พร้อมกับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ที่ถูกแจ้งโดย David Benjamin จาก Google ช่องโหว่ถูกโจมตีและทำให้ระบบที่ใช้งานตกอยู่ในเงื่อนไข Denial of Service (DoS) ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหา null pointer derefence ในการตรวจสอบข้อมูลในใบรับรอง X.509 โดยแฮกเกอร์สามารถสร้างใบรับรองแบบพิเศษ จากนั้นหลอกให้เหยื่อซึ่งใช้ซอฟต์แวร์ OpenSSL ในรุ่นที่มีช่องโหว่ทำการเข้าถึงและตรวจสอบ เหยื่อจะถูกโจมตีและเจอข้อผิดพลาด DoS ได้

ช่องโหว่นี้ส่งผลกระทบกับ OpenSSL ในรุ่น 1.1.1 และ 1.0.2 ผู้ใช้งานควรทำการอัปเกรดเป็น OpenSSL 1.1.1i โดยด่วน

ที่มา: securityweek

OpenSSL project ได้เปิดตัว OpenSSL 1.1.1 ซึ่งเป็นไลบรารีการเข้ารหัส ที่ได้รับความนิยมมากที่สุดที่เข้ารหัสผ่านโปรโตคอล TLS (Transport Layer Security) และ Secure Sockets Layer (SSL)

การเปิดตัว OpenSSL 1.1.1 ที่สำคัญที่สุดคือการสนับสนุนโปรโตคอล TLS 1.3 ใหม่ที่เปิดตัวออกมาเมื่อเดือนมีนาคม ส่งผลให้ลดการใช้งานอัลกอริทึมการเข้ารหัสลับที่เก่าหรือไม่ปลอดภัย และขยายการสนับสนุน Long-Term Support (LTS) สำหรับอัลกอริทึมที่ใหม่กว่า ซึ่งจะได้รับการแก้ไขข้อบกพร่องและการอัปเดตด้านความปลอดภัยสำหรับปีต่อ ๆ ไป

OpenSSL 1.1.1 จะรองรับอัลกอริทึมการเข้ารหัสลับแบบใหม่ 11 แบบ เช่น SHA3, SHA512/224, SHA512/256, EdDSA (Ed25519 และ Ed448), X448, Multi-Prime RSA, SM2, SM3, SM4, SipHash และ ARIA พร้อมทั้งมีการปรับปรุง Random Number Generator (RNG) ที่ถือว่าเป็นส่วนประกอบสำคัญสำหรับไลบรารีทั้งหมดเนื่องจากอัลกอริธึมการเข้ารหัสทั้งหมดขึ้นอยู่กับตัวเลขแบบสุ่มนี้ นอกจากนี้ยังสนับสนุนการปรับปรุงความปลอดภัยสำหรับการป้องกันการโจมตี side-channel attacks

OpenSSL เวอร์ชัน 1.0.2 จะได้รับการแก้ไขข้อบกพร่องจนถึงสิ้นปี 2018 และการแก้ปัญหาด้านความปลอดภัยจนถึงสิ้นปี 2019 OpenSSL 1.1.0 จะได้รับการแก้ไขปัญหาด้านความปลอดภัยจนถึงเดือนกันยายน 2019 อีกหนึ่งปีต่อจากนี้

ที่มา:zdnet