60/68 (IT) ประจำวันพฤหัสบดีที่ 13 กุมภาพันธ์ 2568
OpenSSL ได้ออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงสูง ที่หมายเลข CVE-2024-12797 ซึ่งถูกค้นพบโดย Apple และอาจทำให้เกิดการโจมตีแบบ Man-in-the-Middle (MitM) โดย OpenSSL เป็นไลบรารีที่ใช้เข้ารหัสข้อมูลบนเครือข่ายคอมพิวเตอร์ เพื่อป้องกันการดักฟังและยืนยันตัวตนของผู้สื่อสาร ซึ่ง OpenSSL รองรับโปรโตคอล Secure Sockets Layer (SSL) และ Transport Layer Security (TLS) ช่องโหว่นี้ส่งผลกระทบต่อ TLS/DTLS clients ที่เปิดใช้ Raw Public Keys (RPKs) ตามมาตรฐาน RFC7250 และใช้โหมด SSL_VERIFY_PEER โดยมีข้อผิดพลาดในการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ ทำให้แฮกเกอร์สามารถปลอมแปลงตัวตนและดักฟังข้อมูลได้ Apple ค้นพบช่องโหว่นี้เมื่อ 18 ธันวาคม 2024 และ Viktor Dukhovni เป็นผู้แก้ไข
ช่องโหว่นี้ส่งผลกระทบต่อ OpenSSL 3.4, 3.3 และ 3.2 อย่างไรก็ตาม ค่าเริ่มต้นของ OpenSSL จะปิดใช้งาน RPKs ทำให้มีผลเฉพาะกับผู้ที่เปิดใช้งาน RPKs อย่างชัดเจน OpenSSL ได้ออกแพตช์เวอร์ชัน 3.4.1, 3.3.2 และ 3.2.4 เพื่อแก้ไขปัญหานี้ ผู้ใช้ที่เปิดใช้ RPKs สามารถตรวจสอบความถูกต้องของการยืนยันตัวตนได้โดยเรียกใช้ SSL_get_verify_result()
ก่อนหน้านี้ OpenSSL เคยพบช่องโหว่ร้ายแรงอีกสองรายการในปี 2022 ได้แก่ CVE-2022-3602 และ CVE-2022-3786 ซึ่งเป็นปัญหา Buffer Overflow ที่เปิดช่องให้โจมตีผ่านการปลอมแปลงอีเมลในใบรับรอง X.509 อาจทำให้เกิด Denial of Service (DoS) หรือ Remote Code Execution (RCE) ได้ ช่องโหว่เหล่านี้เน้นย้ำถึงความสำคัญของการอัปเดตแพตช์ความปลอดภัยอย่างต่อเนื่อง
แหล่งข่าว https://securityaffairs.com/174111/security/openssl-patched-the-vulnerability-cve-2024-12797.html
