เมนู

บั๊คใน OpenSSL อาจก่อเหตุ Denial of Service

2022-03-31 OpenSSL (1040)

บั๊คใน OpenSSL อาจก่อเหตุ Denial of Service

3 เมษายน 2565

❗ OpenSSL ประกาศอัพเดทด้านความมั่นคงเพื่อแก้ไขข้อบกพร่องใน Library ซึ่งหากถูกนำไปใช้งานจะก่อให้เกิด Infinite Loop ซึ่งเป็นเงื่อนไขนำไปสู่การ denial-of-service (DoS)
 
🧨การโจมตีประเภท Denial of Service แม้จะมิใช้ปัญหาด้านความมั่นคงที่มีจำนวนมาก แต่ก็ส่งผลกระทบต่อการดำเนินธุรกิจ กระทบต่อสถานภาพด้านการเงินในระยะยาว รวมถึงชื่อเสียงของแบรนด์อีกด้วย และในครั้งนี้เป็นกรณีของ OpenSSL ซึ่งพบช่องโหว่ในฟังก์ชั่น BN_mod_sqrt() function อันส่งผลกระทบต่อผู้ใช้งานเป็นจำนวนมาก
 
🧐 ช่องโหว่ CVE-2022-0778 (CVSS score: 7.5) ส่งผลกระทบต่อ OpenSSL เวอร์ชั่น 1.0.2-1.0.2zc, 1.1.1-1.1.1n และ 3.0-3.0.1 ซึ่งก่อให้เกิดผลกระทบในสถานการณ์ต่างๆ ดังนี้
💠 TLS clients consuming server certificates
💠 TLS servers consuming client certificates
💠 Hosting providers taking certificates or private keys from customers
💠 Certificate authorities parsing certification requests from subscribers
💠 Anything else which parses ASN.1 elliptic curve parameters
💡🧐 เมื่อ Tavis Ormandy (Google) ผู้ค้นพบช่องโหว่นี้และแจ้งไปที่ OpenSSL เมื่อวันที่ 24 กุมภาพันธ์ 2565 ซึ่งต่อมาได้รับการแก้ไขเป็นเวอร์ชั่น 1.1.1n และ 3.0.2 ในขณะที่ผู้ใช้งานบางส่วนซึ่งยังคงได้รับอนุญาตให้ใช้งานเวอร์ชั่น 1.0.2 จะได้รับการปรับปรุงขึ้นเป็นเวอร์ชั่น 1.0.2zd
🔥อย่างไรก็ตาม แม้ในเวอร์ชั่น 1.0.2 จะไม่ได้แนบ Public Key ในกระบวนการ Parsing Certificate ซึ่งทำให้ Infinite Loop เกิดขึ้นได้ยาก แต่ก็ยังมีโอกาสเป็นไปได้ OpenSSL 1.0.2 ได้ประกาศสิ้นสุดการใช้งาน (End of Life) และยุติการให้ความสนับสนุนไปแล้ว ดังนั้น ผู้ใช้จึงควรเร่งอัพเกรดไปยังเวอร์ชั่นใหม่โดยเร็วที่สุด