อีก 1 ช่องโหว่ที่ลี้ลับใน OpenSSL Code Library ที่ไม่ใช่ทั้ง Heartbleed และ FREAK ,
แต่มันเป็นเรื่องที่สำคัญมากที่ต้อง Patched โดย SysAdmin อย่างไว
OpenSSL ได้มีการรายงาน patch กับช่องโหว่ความรุนแรงสูง ช่องโหว่ที่สามารถยอมรับให้ man-in-the-middle แฮกเกอร์ จะปลอมตัวเป็นเว็บไซต์ที่มีความปลอดภัย virtual private networks , หรือ e-mail servers และดักฟังการใช้งานอินเทอร์เน็ตที่มีการเข้ารหัส
ช่องโหว่ CVE-2015-1793
เกิดจากปัญหาที่เกิดขึ้น ในกระบวนการตรวจสอบใบรับรอง (certificate verification process) ข้อผิดพลาดในการดำเนินงานที่ข้ามการตรวจสอบความปลอดภัย , ใบรับรองที่ไม่น่าเชื่อถือ (untrusted certificates.)
การโจมตีช่องโหว่นี้ แฮกเกอร์ สามารถหลีกเลี่ยง certificate warnings ที่ช่วยให้พวกเขาบังคับการใช้งาน Applications ด้วย certificate ที่ไม่ถูกต้อง เป็นเหมือนผู้มีอำนาจใบรับรองถูกต้องตามกฏหมาย
"An error in the implementation of this logic can mean that an attacker could cause certain checks on untrusted certificates to be bypassed," an advisory by OpenSSL explains, "such as the CA flag, enabling them to use a valid leaf certificate to act as a CA and "issue" an invalid certificate."
ปัญหานี้ทำให้เกิดผลกระทบกับ end-user application ใดใดที่จะตรวจสอบ certificates ใน Transport Layer Security (TLS) หรือ Secure Sockets Layaer (SSL) หรือ DTLS clients
SSL / TLS / DTLS Server ส่วนมากจะใช้ในการ Client Authentication.
ข้อพกพร่องนี้มีผลกับ OpenSSL versions 1.0.1n, 1.0.2b, 1.0.2c, 1.0.1o
ดังนั้น User ที่ใช้ OpenSSL version 1.0.2b / 1.0.2c
แนะนำให้อัพเกรดเป็น 1.0.2d
และ OpenSSL version : 1.0.1n/1.0.1o
แนะนำให้อัพเกรดเป็น version 1.0.1p.
บน Linux สามารถ เช็ค OpenSSL Version ได้
โดยใช้คำสั่ง : openssl version
และนี่คือผลกระทบจาก OpenSSL ต่อ OS Environment ต่างๆ
Red Hat Enterprise Linux 4, 5, 6, 7
Red Hat JBoss Enterprise Application Platform (EAP) 5, 6
Red Hat JBoss Enterprise Web Server (EWS) 1, 2
Red Hat JBoss Web Server (JWS) 3
Inktank Ceph Enterprise (ICE) 1
Red Hat Storage Console
Red Hat Enterprise Virtualization
ปัญหานี้ค้นพบโดย Adam Langley และ David Benjamin จาก Google BoringSSL .
Developers รายงานช่องโหว่ไปยัง OpenSSL วันที่ 24 / มิถุนายน
Source : http://thehackernews.com/2015/07/openssl-vulnerability-ssl-certificate.html
