Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫວ່​ໃນ OpenSSL ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ລັກ​ຂໍ້​ມູນ​ໃນ Memory ຈາກ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ໄດ້ (Heartbleed, CVE-2014-0160)

ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫວ່​ໃນ OpenSSL ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ລັກ​ຂໍ້​ມູນ​ໃນ Memory ຈາກ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ໄດ້ (Heartbleed, CVE-2014-0160)

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ: Other

ຂໍ້​ມູນ​ທົ່ວ​ໄປ 

OpenSSL ເປັນ​ໄລ​ບຣາ​ລີ​ສຳລັບ​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ຜ່ານ​ໂປ​ໂຕ​ຄອນ SSL ແລະ TLS ຊຶ່ງ​ເປັນ​ໄລ​ບຣາລີ​ແບບ Open source ເຮັດໃຫ້​ຜູ້​ພັດທະນາ​ຊ໋ອບ​ແວ​ຫຼາຍ​ເຈົ້າ​ນຳ​ໄລ​ບຣາ​ລີ​ດັ່ງ​ກ່າວ​ນີ້​ໄປ​ໃຊ້​ໃນ​ຊ໋ອບ​ແວຂອງ​ຕົນເອງ ຕົວ​ຢ່າງ​ໂປ​ຣແກຣມ​ທີ່​ໃຊ້​ງານ​ໄລ​ບຣາ​ລີ OpenSSL ເຊັ່ນ ລະບົບ​ປະຕິບັດການ Linux, ເວບເຊີເວີ, ໂປຣ​ແກຣມ​ແຊັດ ຫຼື ໂປຣ​ແກຣມ​ສຳລັບ​ເຊື່ອມ​ຕໍ່ VPN ເປັນ​ຕົ້ນ

ເມື່ອ​ວັນທີ 7 ເມ​ສາ 2014 ທາງ OpenSSL ໄດ້​ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫວ່​ໃນ​ຊ໋ອບແວ OpenSSL ເວີ​ຊັ່ນ 1.0.1 ເຖິງ 1.0.1f [1] ໂດຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຢູ່ໃນ​ສ່ວນ​ຂອງ​ການ​ເຊື່ອມ​ຕໍ່ TLS/DTLS ໃນ​ສ່ວນ​ທີ່​ເປັນ Heartbeat extension ທີ່​ເອົາ​ໄວ້​ກວດ​ສອບ​ວ່າ​ໂຮສ​(Host) ທີ່​ເຊື່ອມ​ຕໍ່​ຢູ່​ດ້ວຍ​ນັ້ນ​ຍັງ​ເຮັດວຽກ​ຢູ່​ ຫຼື ​ບໍ່  [2]

ເນື່ອງ​ຈາກ​ສ່ວນ Heartbeat extension ອະນຸຍາດ​ໃຫ້​ລະບົບ​ໃດໆ ກໍ່​ຕາມ​ສາມາດ​ສົ່ງ Request ເຂົ້າ​ມາ​ເພື່ອ​ໃຫ້​ເຄື່ອງ​ປາຍ​ທາງ​ຕອບ​ກັບ ແຕ່​ຂະ​ບວນ​ການ​ນີ້​ມີ​ຄວາມ​ຜິດ​ພາດ​ໃນ​ຂັ້ນ​ຕອນ​ການ​ກວດ​ສອບ​ຂໍ້​ມູນ ເຮັດໃຫ້​ໃນ​ກໍລະນີ​ທີ່ Request ທີ່​ສົ່ງ​ເຂົ້າ​ມາ​ມີ​ການ​ລະ​ບຸ​ຄວາມ​ຍາວ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ສົ່ງ​ກັບ​ຫລາຍກວ່າ​ຂະໜາດ​ຂອງ Request ເຄື່ອງ​ປາຍ​ທາງ​ຈະ​ໄປ​ອ່ານ​ຂໍ້​ມູນ​ຈາກ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ຕົວ​ເຄື່ອງ​ອອກ​ມາ ແລ້ວ​ສົ່ງ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ກັບ​ໄປ​ໃຫ້​ຜູ້​ທີ່​ຮ້ອງ​ຂໍ  [3]

ຂໍ້​ມູນ​ທີ່​ເຄື່ອງ​ປາຍ​ທາງ​ຈະ​ສົ່ງ​ກັບ​ໄປ​ໃຫ້​ຜູ້​ທີ່​ຮ້ອງ​ຂໍ​ເປັນ​ຂໍ້​ມູນ​ຂະໜາດ 64 KB ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ໃນ​ຕຳແໜ່ງ​ທີ່​ໃກ້​ຄຽງ​ກັບ​ຂໍ້​ມູນ​ທີ່​ໂປ​ເຊດ​(Process) ຂອງ OpenSSL ໃຊ້​ງານ​ຢູ່ ຊຶ່ງ​ຂໍ້​ມູນ​ທີ່​ຢູ່ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຈະ​ຖືກ​ເກັບ​ແບບ​ບໍ່​ມີ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ ແລະ ​ອາດ​ມີ​ຂໍ້​ມູນ​ສຳຄັນ​ຖືກ​ເກັບ​ຢູ່ໃນ​ຕຳແໜ່ງ​ນີ້ ເຊັ່ນ ລະ​ຫັດ​ຜ່ານ ໝາຍ​ເລກ​ບັດ​ລະ​ເຄ​ດິດ ຫຼື Private Key ຂອງ​ລະບົບ​ທີ່​ໃຊ້​ງານ OpenSSL ຈຶ່ງ​ເຮັດໃຫ້​ມີ​ໂອ​ກາດ​ສູງ​ທີ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ຈະ​ເຊື່ອມ​ຕໍ່​ເຂົ້າ​ມາ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ເຄື່ອງ​ປາຍ​ທາງ​ໄດ້  [4]

ເຖິງແມ່ນວ່າ​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ອ່ານ​ໄດ້​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ເຄື່ອງ​ປາຍ​ທາງ ຈະ​ສາມາດ​ນຳ​ອອກ​ໄປ​ໄດ້​ແຕ່ເທື່ອ​ລະ​ບໍ່​ເກີນ 64 KB ແຕ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ກໍ່​ສາມາດ​ທີ່​ຈະ​ສົ່ງ Request ເຂົ້າ​ມາ​ເລື້ອຍ​ໆ ເພື່ອ​ດຶງ​ຂໍ້​ມູນ​ໃນ​ສ່ວນ​ທີ່​ເຫຼືອ ​ແລະ ​ນຳ​ຂໍ້​ມູນ​ທີ່​ໄດ້​ໄປ​ປະ​ຕິດ​ປະ​ຕໍ່​ໃຫ້ເປັນ​ຂໍ້​ມູນ​ເຕັມໆ ໄດ້

ຜົນ​ກະທົບ 

ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ຜົນ​ກະທົບ​ທັງ​ກັບ​ຜູ້​ໃຊ້​ທົ່ວ​ໄປ ​ແລະ ​ຜູ້​ໃຫ້​ບໍລິການ​ຜ່ານ​ອິນ​ເຕີ​ເນັດ ຊຶ່ງ​ທັງ​ສອງ​ກຸ່ມ​ນີ້​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ຖືກ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ

ຕົວ​ຢ່າງ​ຄວາມ​ເສຍ​ຫາຍ​ທີ່​ເກີດ​ກັບ​ຜູ້​ໃຊ້​ທົ່ວ​ໄປ ເຊັ່ນ ຜູ້​ໃຊ້​ເປີດ​ໃຊ້​ງານ​ໂປຣ​ແກຣມ​ທີ່​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL/TLS ທີ່​ພັດທະນາ​ໂດຍ​ໃຊ້​ໄລ​ບຣາ​ລີ OpenSSL ເວີ​ຊັ່ນ​ທີ່​ມີ​ຊ່ອງ​ໂຫວ່ ຫາກ​ຜູ້​ໃຊ້​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL ກໍ່​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ລັກ​ຂໍ້​ມູນ​ທີ່​ຢູ່ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ໄດ້ ຂຶ້ນ​ຢູ່​ກັບ​ວ່າ​ໂປຣ​ແກຣມ​ທີ່​ໃຊ້​ງານ​ນັ້ນ​ຄື​ໂປ​ຣແກຣມ​ຫຍັງ ເຊັ່ນ ເວບຣ​າວ​ເຊີ ໂປຣ​ແກຣມ​ຮັບ​ສົ່ງ​ອີ​ເມລ ໂປຣ​ແກຣມ​ແຊັດ ໂປຣ​ແກຣມ Cloud storage ຫຼື ໂປຣ​ແກຣມ​ເຊື່ອມ​ຕໍ່ VPN

ຕົວ​ຢ່າງ​ຄວາມ​ເສຍ​ຫາຍ​ທີ່​ເກີດ​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ​ທີ່​ເປີດ​ໃຊ້​ງານ​ເວບເຊີເວີ​ທີ່​ໃຊ້​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL ກໍ່​ມີ​ໂອ​ກາດ​ສູງ​ທີ່​ຈະ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ໜ່ວຍ​ຄວາມ​ຈຳ ເຊັ່ນ ລະ​ຫັດ​ຜ່ານ​ຂອງ​ຜູ້​ທີ່​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ ຫຼືPrivate key ທີ່​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ ຊຶ່ງ​ຫາກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ໄດ້​ຂໍ້​ມູນ​ໃນ​ສ່ວນ​ນີ້​ໄປ​ກໍ່​ອາດ​ຖອດລະ​ຫັດ​ລັບ​ທຸກ​ຢ່າງ​ທີ່​ເຄີຍ​ມີ​ການ​ແລກ​ປ່ຽນ​ຜ່ານ​ເຄື່ອງເຊີເວີ​ໄດ້

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

ຊ໋ອບແວ OpenSSL ເວີຊັ່ນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້  [5]

  • 1.0.1
  • 1.0.1: beta1 ເຖິງ 1.0.1: beta3
  • 1.0.1a ເຖິງ 1.0.1f
  • 1.0.2-beta1

ຜູ້​ໃຫ້​ບໍລິການ​ອ້າງ​ຕາມ list ຂອງ cert/cc  [6]

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ ແລະ ​ແກ້​ໄຂ 

 [ສຳລັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ]

1. ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ຄວນ​ອັບ​ເດດ​ຊ໋ອບແວ OpenSSL ທີ່​ໃຊ້​ງານ​ໃນ​ທັນ​ທີ ເມື່ອ​ອັບ​ເດດ​ຊ໋ອບແວສຳເລັດ​ແລ້ວ​ໃຫ້​ກວດ​ສອບ​ໝາຍ​ເລກ​ເວີຊັ່ນ​ວ່າ​ຊ໋ອບແວ​ໄດ້ຮັບ​ການ​ອັບ​ເດດ​ແລ້ວ

ສຳລັບ​ລະບົບ​ປະຕິບັດການ​ທີ່​ບໍລິຫານ​ຈັດການ​ດ້ວຍ DPKG ເຊັ່ນ Debian Ubuntu 

dpkg -s openssl

ສຳລັບ​ລະບົບ​ປະຕິບັດການ​ທີ່​ບໍລິຫານ​ຈັດການ​ດ້ວຍ RPM ເຊັ່ນ CentOS Redhat 

rpm -q --info openssl

2. ປ່ຽນ SSL Certificate ໃໝ່

ຢ່າງໃດ​ກໍ່​ຕາມ ເວີຊັ່ນ​ລ່າ​ສຸດ​ຂອງ​ຊ໋ອບ​ແວ OpenSSL ທີ່​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ນີ້​ແລ້ວ​ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ນັ້ນ ອາດ​ມີ​ໝາຍ​ເລກ​ເວີ​ຊັ່ນ​ທີ່​ເບິ່ງຄືກັບ​ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ເວີ​ຊັ່ນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ດັ່ງ​ທີ່​ລະ​ບຸ​ໄວ້​ຂ້າງ​ຕົ້ນ ເຊັ່ນ ຊ໋ອບແວ OpenSSL ເທິງ​ລະບົບ​ປະຕິບັດການ Debian ເວີ​ຊັ່ນ​ທີ່​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ແລ້ວ​ຄື 1.0.1e-2+deb7u5 ຫຼື ສູງ​ກວ່າ ແລະ​ ໃນ​ແຕ່​ລະ​ລະບົບ​ປະຕິບັດການ​ອາດ​ມີ​ໝາຍ​ເລກ​ເວີຊັ່ນ​ລ່າ​ສຸດ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ໄປ ດັ່ງ​ນັ້ນ ຜູ້​ໃຊ້​ຈຶ່ງ​ຄວນ​ກວດ​ສອບ​ຈາກ​ເວບ​ໄຊທາງ​ການ​ຂອງ​ແຕ່​ລະ​ລະບົບ​ປະຕິບັດການ​ອີກ​ເທື່ອ ເຊັ່ນ Debian [7], Ubuntu [8], Red Hat Enterprise Linux [9] ແລະ FreeBSD  [10]

3. ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ສາມາດ​ກວດ​ສອບ​ບັນຫາ​ຂອງ​ໂຫວ່​ດັ່ງ​ກ່າວໄດ້ທີ່ https://www.ssllabs.com/ssltest/

News Images: openssl.png

ຮູບ​ທີ 1 ໜ້າ​ຈໍ​ສະແດງ​ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫວ່​

 [ສຳລັບ​ຜູ້​ໃຊ້​ງານ]

1. ຜູ້​ໃຊ້​ງານ​ສາມາດ​ກວດ​ສອບ​ບັນຫາ​ຂອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ທີ່ https://www.ssllabs.com/ssltest ຫາກ​ພົບ​ວ່າ​ບໍລິການ​ທີ່​ກຳ​ລັງ​ຈະ​ເຂົ້າ​ໃຊ້​ງານ​ມີ​ຊ່ອງ​ໂຫວ່ Heartbleed ໃຫ້​ຢຸດ​ການ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ນັ້ນ​ກ່ອນ​ທັນ​ທີ

2. ປ່ຽນລະ​ຫັດ​ຜ່ານ​ກັບ​ເວບ​ໄຊ​ທີ່​ເຂົ້າ​ໃຊ້​ງານ​ດ້ວຍ​ລະ​ຫັດ​ຜ່ານ​ໃໝ່ ລວມ​ເຖິງລະ​ຫັດ​ຜ່ານ​ສຳລັບ​ການ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ ອີງ​ຕາມ list ຂອງ cert/cc [6] ແລະ ​ໃນ​ກໍລະນີ​ທີ່​ໃຊ້​ງານ​ຫຼາຍ​ເວບ​ໄຊ ຫຼື ​ລະບົບ ໃຫ້​ເລືອກ​ປ່ຽນລະ​ຫັດ​ຜ່ານ​ທີ່​ແຕກ​ຕ່າງ​ກັນ

3. ເມື່ອ​ຮູ້​ຕົວ​ວ່າ​ໃຊ້​ງານ Wi-Fi ສາທາລະນະ​ໃຫ້​ລະ​ມັດ​ລະ​ວັງ​ການ​ໃຊ້​ງານ​ ຫຼື  ​ຫລີກ​ລ້ຽງ​ເຂົ້າ​ເວບ​ໄຊ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ ເຊັ່ນ ເວບ​ໄຊທະ​ນາ​ຄານ​ອອນ​ລາຍ ຫຼື ​ເວບ​ໄຊ​ອີ​ເມລ

4. ກວດ​ສອບ​ປະຫວັດ​ການ​ລັອກ​ອິນ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ທີ່​ສຳຄັນ​ເພື່ອ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ບໍ່​ມີ​ການ​ລັອກ​ອິນ​ຈາກ​ບຸກ​ຄົນ​ອື່ນ

5. ຕິດ​ຕາມ​ຂ່າວ​ສານ​ກ່ຽວກັບ​ບັນຫາ​ຊ່ອງ​ໂຫວ່ HeartBleed ຈາກ​ເວບ​ໄຊທີ່​ໜ້າ​ເຊື່ອ​ຖື​ ຫຼື ​ເທິງ​ເວບ​ໄຊ​ລາວເຊີດ

ອ້າງ​ອີງ 

  1. https://www.openssl.org/news/secadv_20140407.txt
  2. https://tools.ietf.org/html/rfc6520
  3. http://heartbleed.com
  4. http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
  5. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
  6. http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=720951&SearchOrder=4
  7. http://www.debian.org/security/2014/dsa-2896
  8. http://www.ubuntu.com/usn/usn-2165-1
  9. https://rhn.redhat.com/errata/RHSA-2014-0376.html
  10. http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc

ເອກະສານອ້າງອີງຈາກ ThaiCERT 

Porher 23 April 2014 1,565 Print