Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ใน OpenSSL อนุญาตให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงใบรับรอง SSL ได้ (CVE 2015-1793)


วันที่ประกาศ: 11 กรกฎาคม 2558
ปรับปรุงล่าสุด: 11 กรกฎาคม 2558
เรื่อง: ระวังภัย ช่องโหว่ใน OpenSSL อนุญาตให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงใบรับรอง SSL ได้ (CVE 2015-1793)
ประเภทภัยคุกคาม: Other

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป


OpenSSL เป็นไลบรารีสำหรับใช้ในการเข้ารหัสลับข้อมูลผ่านโพรโทคอล SSL และ TLS ซึ่งเป็นไลบรารีแบบ Open source ทำให้ผู้พัฒนาซอฟต์แวร์หลายรายนำไลบรารีดังกล่าวนี้ไปใช้ในซอฟต์แวร์ของตนเอง ตัวอย่างโปรแกรมที่ใช้งานไลบรารี OpenSSL เช่น ระบบปฏิบัติการ Linux, เว็บเซิร์ฟเวอร์, โปรแกรมแชต หรือโปรแกรมสำหรับเชื่อมต่อ VPN เป็นต้น
เมื่อวันที่ 6 กรกฎาคม 2558 ทาง OpenSSL ได้แจ้งจะเผยแพร่อัปเดตซอฟต์แวร์ OpenSSL เวอร์ชัน 1.0.2d และ 1.0.1p เพื่อแก้ไขข้อบกพร่องที่มีผลกระทบต่อความมั่นคงปลอดภัยที่มีระดับความรุนแรงสูง แต่ยังไม่มีการเปิดเผยรายละเอียดและผลกระทบ อย่างไรก็ตามข้อบกพร่องนี้ไม่ได้ส่งผลกระทบต่อเวอร์ชัน 1.0.0 หรือ 0.9.8 โดย OpenSSL เวอร์ชันใหม่ที่ได้กล่าวมานั้นถูกเผยแพร่พร้อมรายละเอียดของช่องโหว่ในวันที่ 9 กรกฎาคม 2558 [1]

ผลกระทบ


ผู้ไม่หวังดีสามารถปลอมแปลงใบรับรอง SSL ได้ ส่งผลให้สามารถโจมตีในลักษณะ Man-in-the-Middle (MitM) [2] ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถหลอกผู้ใช้งานให้หลงเชื่อ ว่าได้มีการเข้าถึงเว็บไซต์ หรือระบบที่ได้รับการรับรองอย่างถูกต้องได้ [3]

ระบบที่ได้รับผลกระทบ


ซอฟต์แวร์ OpenSSL เวอร์ชันดังต่อไปนี้ [4]
  • 1.0.1o ให้อัปเดตเป็นเวอร์ชัน 1.0.1p
  • 1.0.1n ให้อัปเดตเป็นเวอร์ชัน 1.0.1p
  • 1.0.2b ให้อัปเดตเป็นเวอร์ชัน 1.0.2d
  • 1.0.2c ให้อัปเดตเป็นเวอร์ชัน 1.0.2d

ข้อแนะนำในการป้องกันและแก้ไข


ผู้ดูแลระบบควรอัพเดตซอฟต์แวร์ OpenSSL ที่ใช้งานในทันที เมื่ออัพเดตซอฟต์แวร์เสร็จแล้วให้ตรวจสอบหมายเลขเวอร์ชันว่าซอฟต์แวร์ที่ได้รับการอัพเดตแล้วด้วยคำสั่ง ดังตัวอย่างต่อไปนี้
สำหรับระบบปฏิบัติการที่บริหารจัดการด้วย DPKG เช่น Debian, Ubuntu
dpkg -s openssl
สำหรับระบบปฏิบัติการที่บริหารจัดการด้วย RPM เช่น CentOS, Redhat
rpm -q --info openssl

อ้างอิง

  1. https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html
  2. https://www.thaicert.or.th/papers/general/2012/pa2012ge012.html
  3. https://nakedsecurity.sophos.com/2015/07/09/the-openssl-cve-2015-1793-certificate-verification-bug-what-you-need-to-know/
  4. https://www.openssl.org/news/secadv_20150709.txt
Clear