คอลิน เธียร์รี่
เผยแพร่เมื่อ: November 2, 2022
เมื่อเร็วๆ นี้ โครงการ OpenSSL ได้แก้ไขข้อบกพร่องด้านความปลอดภัยที่มีความรุนแรงสูงสองจุดในไลบรารีการเข้ารหัสแบบโอเพนซอร์สที่ใช้เข้ารหัสช่องทางการสื่อสารและการเชื่อมต่อ HTTPS
ช่องโหว่เหล่านี้ (CVE-2022-3602 และ CVE-2022-3786) ส่งผลกระทบต่อ OpenSSL เวอร์ชัน 3.0.0 และใหม่กว่า และได้รับการแก้ไขใน OpenSSL 3.0.7
CVE-2022-3602 สามารถใช้ประโยชน์เพื่อทำให้เกิดข้อขัดข้องหรือการดำเนินการโค้ดจากระยะไกล (RCE) ในขณะที่ผู้คุกคามสามารถใช้ CVE-2022-3786 ผ่านที่อยู่อีเมลที่เป็นอันตรายเพื่อกระตุ้นการปฏิเสธสถานะบริการ
“เรายังคงถือว่าปัญหาเหล่านี้เป็นช่องโหว่ร้ายแรง และขอแนะนำให้ผู้ใช้ที่ได้รับผลกระทบอัปเกรดโดยเร็วที่สุด” ทีม OpenSSL กล่าวใน คำสั่ง เมื่อวันอังคารที่
“เราไม่ทราบถึงการใช้ประโยชน์จากการทำงานที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล และเราไม่มีหลักฐานว่าปัญหาเหล่านี้ถูกนำไปใช้ประโยชน์ ณ เวลาที่เผยแพร่โพสต์นี้” กล่าวเสริม
ตาม OpenSSL's นโยบายความปลอดภัย, บริษัท (เช่น ExpressVPN) และผู้ดูแลระบบไอทีเคยเป็น เตือน เมื่อสัปดาห์ที่แล้วเพื่อค้นหาช่องโหว่ในสภาพแวดล้อมและเตรียมแก้ไขเมื่อ OpenSSL 3.0.7 เปิดตัว
“หากคุณทราบล่วงหน้าว่าคุณกำลังใช้ OpenSSL 3.0+ อยู่ที่ใดและใช้งานอย่างไร เมื่อได้รับคำแนะนำ คุณจะสามารถระบุได้อย่างรวดเร็วว่าคุณได้รับผลกระทบหรือไม่และต้องแก้ไขอะไรบ้าง” กล่าวว่า Mark J Cox ผู้ก่อตั้ง OpenSSL ในโพสต์ Twitter
นอกจากนี้ OpenSSL ยังจัดให้มีมาตรการบรรเทาผลกระทบที่กำหนดให้ผู้ดูแลระบบใช้งานเซิร์ฟเวอร์ Transport Layer Security (TLS) เพื่อปิดใช้งานการตรวจสอบสิทธิ์ไคลเอ็นต์ TLS จนกว่าจะมีการใช้แพตช์
ผลกระทบของช่องโหว่นั้นมีจำกัดมากกว่าที่คิดไว้ในตอนแรก เนื่องจาก CVE-2022-3602 ถูกดาวน์เกรดจากวิกฤตเป็นความรุนแรงสูงและส่งผลกระทบต่อ OpenSSL 3.0 และอินสแตนซ์ที่ใหม่กว่าเท่านั้น
ตามบริษัทรักษาความปลอดภัยบนคลาวด์ วิซ.ไอโอพบว่ามีเพียง 1.5% ของอินสแตนซ์ OpenSSL ทั้งหมดที่ได้รับผลกระทบจากข้อบกพร่องด้านความปลอดภัยหลังจากวิเคราะห์การปรับใช้ในสภาพแวดล้อมคลาวด์หลักๆ (รวมถึง AWS, GCP, Azure, OCI และ Alibaba Cloud)
ศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของเนเธอร์แลนด์ยังได้แบ่งปัน รายการ ของผลิตภัณฑ์ซอฟต์แวร์ที่ยืนยันว่าจะไม่ได้รับผลกระทบจากช่องโหว่ของ OpenSSL
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- นักสืบความปลอดภัย
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
