OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่ อจากภายนอก
บั๊ก FREAK (CVE-2015-0204) เป็นบั๊กของ OpenSSL ร่วมกับการคอนฟิกแบบเก่าๆ ที่เปิดชุดการเข้ารหัสแบบอ่อนแอเอาไว้ แฮกเกอร์จะสามารถบังคับให้ผู้ใช้เชื่อมต่อการเข้ารหั สที่อ่อนแอเหล่านั้นได้ หากอัพเดตบั๊กนี้แม้จะเปิดการเข้ารหัสเหล่านั้นไว้ แฮกเกอร์ก็ไม่สามารถบังคับให้ผู้ใช้ไปเชื่อมต่อด้วยช ุดการเข้ารหัสที่่อ่อนแอเหล่านั้นได้อีกต่อไป บั๊กนี้มีผลกับ OpenSSL 3 ตระกูลได้แก่ 1.0.1, 1.0.0, และ 0.9.8
ส่วนบั๊กใหม่คือ ClientHello sigalgs DoS (CVE-2015-0291) เป็นบั๊กที่หากเครื่องไคลเอนต์เชื่อมต่อเข้ามาโดยเลื อกใช้กระบวนวิธีที่ไม่ถูกต้อง (invalid signature algorithms) จะทำให้เกิดการคืนหน่วยความจำที่ค่า NULL (NULL pointer dereference) ส่งผลให้โปรเซสเซิร์ฟเวอร์อาจจะล่มไป แฮกเกอร์จะยิงให้บริการล่มได้โดยง่าย บั๊กนี้มีผลเฉพาะรุ่น 1.0.2 เท่านั้น
ในแพตช์ชุดเดียวกันยังมีบั๊กร้ายแรงระดับกลางและต่ำอ ีกหลายตัว บั๊กบางตัวสามารถทำให้เซิร์ฟเวอร์ล่มได้เหมือนกัน อย่างไรเสียควรรีบติดตั้งแพตช์กันโดยเร็ว
ที่มา - OpenSSL
OpenSSL, Security, SSL, TLS




อ่านต่อ...