OpenSSL ออกแพตซ์แก้ไขช่องโหว่ แนะนำให้อัปเดตโดยด่วน

The OpenSSL Project ออกแพตซ์สำหรับอุดช่องโหว่ที่มีความรุนแรง 2 รายการซึ่งมีความเสี่ยงสูงในการถูกโจมตีแบบ DDoS หรือถูก Bypass Certificate ตั้งแต่ OpenSSL เวอร์ชัน 1.1.1 ขึ้นไป โดยช่องโหว่ที่จะได้รับผลกระทบ ดังนี้

  • CVE-2021-3450 – มีข้อผิดพลาดในการตรวจสอบ Certificate Authority (CA) Certificate โดยส่งผลกระทบทั้งฝั่ง Server และ Client ซึ่งนำไปสู่การ Bypass การตรวจสอบ Certificate ได้
  • CVE-2021-3449 –  ช่องโหว่ DoS สาเหตุจาก NULL Pointer dereferencing โดยส่งผลกระทบกับ Server OpenSSL ในเวอร์ชันระหว่าง 1.1.1 ถึง 1.1.1j เพราะมีการเปิด TLSv1.2 และ renegotiation เป็นค่าพื้นฐาน

ดังนั้นขอให้ผู้ใช้งานให้เร่งอัปเดตแพตซ์ให้เป็นเวอร์ชัน 1.1.1k  โดยด่วนเพื่อความปลอดภัยในการใช้งาน

ที่มา: https://www.bleepingcomputer.com/news/security/openssl-fixes-severe-dos-certificate-validation-vulnerabilities/  และ https://www.techtalkthai.com/openssl-1-1-1-k-fixes-2-high-vulnerabilities/