Tags:
Node Thumbnail

OpenSSL ออกแพตช์เวอร์ชั่น 1.1.1k แก้ไขช่องโหว่ร้ายแรงสูงสองรายการที่เปิดทางให้แฮกเกอร์ออกใบรับรองปลอม และอาจทำเซิร์ฟเวอร์แครช

ช่องโหว่ CVE-2021-3450 เป็นช่องโหว่ที่เปิดทางให้แฮกเกอร์ใช้ใบรับรองทั่วไปทำตัวเป็น certification authority (CA) แล้วนำไปรับรองใบรับรองอื่นๆ ได้ เปิดทางให้แฮกเกอร์สร้างใบรับรองสำหรับโดเมนอื่นๆ ที่ไม่ได้เป็นเจ้าของเอง แม้ช่องโหว่นี้จะร้ายแรง แต่ไคลเอนต์ที่จะได้รับผลกระทบต้องเปิดฟีเจอร์ X509_V_FLAG_X509_STRICT ซึ่งค่าเริ่มต้นไม่ได้เปิดเอาไว้

อีกช่องโหว่คือ CVE-2021-3449 เปิดทางให้แฮกเกอร์ยิงแพ็กเก็ต ClientHello แล้วทำให้เซิร์ฟเวอร์แครชไปได้ โดยเซิร์ฟเวอร์ต้องรองรับ TLS 1.2 และเปิดฟีเจอร์ renegotiation เอาไว้ (เป็นค่าเริ่มต้นของ OpenSSL)

ที่มา - OpenSSL

Get latest news from Blognone

Comments

By: SilentHeal
AndroidUbuntuWindowsIn Love
on 27 March 2021 - 07:04 #1204196
SilentHeal's picture

ที่หัวข้อ ช่องโหว่ม -> ช่องโหว่ ครับ

ปล.อ่านตอนแรก เห็นภาพไลท์เซเบอร์ ลอยมาเลย โหว่ม โหว่ม โหว่ม