Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ຊ່ອງ​ໂຫວ່​ໃນຊ໋ອບ​ແວທີ່​ໃຊ້​ງານ​ໂປ​ໂຕ​ຄອນ SSL/TLS ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ຖອດລະຫັດ​ລັບ​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​ໄດ້ (FREAK)

ຊ່ອງ​ໂຫວ່​ໃນຊ໋ອບ​ແວທີ່​ໃຊ້​ງານ​ໂປ​ໂຕ​ຄອນ SSL/TLS ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ຖອດລະຫັດ​ລັບ​ຂໍ້​ມູນ​ຂອງ​ຜູ້​ໃຊ້​ໄດ້ (FREAK)
ໃນ​ວັນທີ 3 ມີ​ນາ ນັກ​ວິ​ໄຈ​ຈາກ INRIA, Microsoft Research ແລະ IMDEA Software ໄດ້​ເປີດ​ເຜີຍ​ລາຍ​ລະອຽດ​ຂອງ​ຊ່ອງ​ໂຫ່ວ FREAK (Factoring RSA Export Keys) ໂດຍ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ​ອາໄສ​ຄຸນສົມບັດ​ຂອງ​ຊ໋ອບ​ແວທາງ​ຜູ້​ໃຊ້ ​ແລະ ​ຜູ້​ໃຫ້​ບໍລິການ​ທີ່​ຮອງ​ຮັບ​ຮູບ​ແບບ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ ຫລື Cipher suite ຂອງ​ໂປ​ໂຕຄອນ SSL/TLS ໄດ້​ຫຼາຍ​ລະ​ດັບ ເປີດ​ໂອ​ກາດ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ຫຼອກລວງ​ໃຫ້​ປາຍ​ທາງ​ສ້າງ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ຕົນ​ໂດຍ​ໃຊ້ Cipher suite ທີ່​ມີ​ຄວາມ​ແຂງ​ແຮງ​ຕ່ຳ ເພື່ອ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ຖອດລະຫັດ​ລັບ​ຂໍ້​ມູນ​ທີ່​ຮັບ​ສົ່ງ​ຫາ​ກັນ​ໃນ​ທາງ​ປະຕິບັດ​ໄດ້  [1] ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ​ໃນຊ໋ອບ​ແວ OpenSSL ໄດ້​ຖືກ​ປະ​ກາດ​  ໝາຍ​ເລກ CVE ເປັນ CVE-2015-0204  ແລະ​ ມີ​ການປັບປຸງ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວດັ່ງ​ກ່າວ​ຕັ້ງ​ແຕ່​ເດືອນ​ມັງກອນທີ່​ຜ່ານມາ  [2] [3] ໃນ​ຂະນະ​ທີ່​ທາງ Apple ໄດ້​ລະ​ບຸ​ວ່າ​ກຳ​ລັງ​ພັດທະນາ​ແພັດ (Patch) ​ຊຶ່ງ​ຈະ​ເປີດ​ໃຫ້​ປັບປຸງໄດ້​ພາຍ​ໃນ​ອາທິດ​ໜ້າ ສ່ວນ​ທາງ Google ລະ​ບຸ​ວ່າ​ໄດ້​ສົ່ງ​ແພັດໃຫ້​ກັບ​ຜູ້​ຜະລິດ​ແລ້ວ ແຕ່​ບໍ່​ສາມາດ​ລະ​ບຸ​ໄດ້​ວ່າ​ຜູ້​ໃຊ້​ຈະ​ໄດ້ຮັບ​ການ​ປັບປຸງເມື່ອ​ໃດ  [4]


ສຳລັບ​ສາ​ເຫດ​ທີ່ຊ໋ອບ​ແວໃນ​ປະຈຸບັນ​ຍັງ​ຄົງ​ຮອງ​ຮັບ Cipher suite ທີ່​ມີ​ຄວາມ​ແຂງ​ແຮງ​ຕ່ຳ​ນັ້ນ ມີ​ທີ່​ມາ​ຈາກ​ຂໍ້​ບັງຄັບ​ຂອງ ສະຫະລັດອາລິ​ກາ ​ໃນ​ສະໄໝ​ກ່ອນ​ທີ່​ກຳນົດ​ໃຫ້​ນັກ​ພັດທະນາ​ຕ້ອງຫຼຸດ​ຄວາມ​ແຂງ​ແຮງ​ຂອງ Cipher suite ລົງ​ກ່ອນທີ່ຈະ​ສົ່ງ​ຜະລິດຕະພັນ ຫຼື ​ເທັກ​ໂນ​ໂລ​ຍີ​ໃດໆ ທີ່​ກ່ຽວ​ຂ້ອງ​ອອກ​ນອກ​ປະເທດ (Cipher suite ທີ່​ຖືກ​ຫຼຸດ​ຜ່ອນ​ຄວາມ​ແຂງ​ແຮງ​ລົງ​ເຫຼົ່າ​ນີ້​ມັກ​ຖືກ​ເອີ້ນວ່າ​ເປັນ​ແບບ Export-grade ໂດຍ​ຈະ​ມີ​ຄຳ​ວ່າ EXP ຫຼື EXPORT ປະກົດ​ຢູ່ໃນ​ຊື່​ຂອງ Cipher suite) ສົ່ງ​ຜົນ​ໃຫ້​ອັນ​ກໍ​ລິ​ທຶມ RSA ທີ່​ຖືກ​ໃຊ້​ງານ​ນອກ ສະຫາລັດອາເມ​ລິ​ກາ ຈະ​ມີ​ຄວາມ​ຍາວ​ຂອງ​ກຸນ​ແຈ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ໄດ້​ສູງ​ສຸດ​ພຽງ 512 bits ຊຶ່ງ​ປະຈຸບັນ​ຖື​ວ່າ​ມີ​ຄວາມ​ແຂງ​ແຮງ​ຕ່ຳ​ ແລະ​ ບໍ່​ແນະ​ນຳ​ໃຫ້​ໃຊ້​ງານ​ແລ້ວ ໃນ​ຂະນະ​ທີ່​ລະບົບ​ຕ່າງໆ ທີ່​ເປີດ​ໃຫ້​ບໍລິການ​ພາຍ​ໃນ​ ສະຫາລັດອາເມ​ລິ​ກາ​ ກໍ່​ຈຳ​ເປັນ​ທີ່​ຈະ​ຕ້ອງ​ຮອງ​ຮັບ Cipher suite ເຫຼົ່າ​ນີ້ ເພື່ອ​ໃຫ້​ຜູ້​ໃຊ້​ທີ່​ຢູ່​ນອກ ສະຫາລັດອາເມ​ລິ​ກາ ​ສາມາດ​ເຂົ້າ​ມາ​ໃຊ້​ງານ​ໄດ້ ຊຶ່ງ​ໃນ​ປະຈຸບັນ​ພົບ​ວ່າ​ມີ​ເວບ​ໄຊຈຳນວນ​ຫຼາຍ​ທີ່​ຍັງ​ຄົງ​ຮອງ​ຮັບ RSA export-grade cipher suite ຢູ່  [5][6]

ຈາກ​ຜົນ​ການ​ວິ​ໄຈ​ໂດຍ​ນັກ​ວິ​ໄຈ​ຈາກ University of Michigan ພົບ​ວ່າ ເວບ​ໄຊ​ທີ່​ໃຊ້​ໂປ​ໂຕ​ຄອນ HTTPS ກວ່າ 36.7% ຈາກ​ທົ່ວ​ໂລກ​ຍັງ​ຄົງ​ຮອງ​ຮັບ RSA export-grade cipher suite  [7] .


ຜົນ​ກະທົບ

ຜູ້​ໃຊ້​ທົ່ວ​ໄປ​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ຈະ​ຖືກ​ໂຈມ​ຕີ​ດ້ວຍ​ເທກ​ນິກ Man-in-the-middle ສົ່ງ​ຜົນ​ໃຫ້​ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ດັກ​ຮັບ​ແລະ ​ຖອດລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ທີ່​ຮັບ​ສົ່ງ​ກັນ​ລະຫວ່າງ​ຜູ້​ໃຊ້ ​ແລະ​ ເຊີເວີ ໂດຍ​ທີ່​ຜູ້​ໃຊ້​ຈະ​ບໍ່​ພົບ​ເຫັນ​ຄວາມ​ຜິດ​ປົກກະຕິ​ໃດໆ ຕົວ​ຢ່າງ​ເຊັ່ນ ຜູ້​ໃຊ້​ຈະ​ຍັງ​ຄົງ​ເຫັນ​ວ່າ SSL certificate ຂອງ​ເວບ​ໄຊທີ່​ໃຊ້​ໂປ​ໂຕຄອນ HTTPS ໄດ້ຮັບ​ການ​ຮັບຮອງ​ຢ່າງ​ຖືກ​ຕ້ອງ


ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ

  • OpenSSL ເວີ​ຊັ່ນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້
    • ເວີຊັ່ນ 1.0.1 ທີ່​ຕ່ຳ​ກວ່າ 1.0.1k
    • ເວີຊັ່ນ 1.0.0 ທີ່​ຕ່ຳ​ກວ່າ 1.0.0p
    • ເວີ​ຊັ່ນ 0.9.8 ທີ່​ຕ່ຳ​ກວ່າ 0.9.8zd
  • Android Browser (ເວບ​ບ​ຣາວ​ເຊີ​ທີ່​ມາ​ພ້ອມ​ກັບ​ລະບົບ​ປະຕິບັດການ Android)
  • Safari ເທິງ​ລະບົບ​ປະຕິບັດການ OS X ແລະ iOS


ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ແລະ​ແກ້​ໄຂ

ສຳລັບ​ຜູ້​ໃຊ້​ທົ່ວ​ໄປ                                                        

  1. ກວດ​ສອບ​ເວບ​ບ​ຣາວ​ເຊີທັງ​ເທິງ​ຄອມພິວເຕີ ​ແລະ​ ອຸປະກອນ​ພົກ​ພາ​ວ່າ​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ຊ່ອງ​ໂຫ່ວ​ດັ່ງ​ກ່າວ ​ຫຼື​ ບໍ່ ໂດຍ​ເຂົ້າ​ເວບ​ໄຊ https://freakattack.com/clienttest.html ຫາກ​ພົບ​ຂໍ້ຄວາມ​ພື້ນ​ຫລັງ​ສີ​ແດງ ສະແດງ​ວ່າ​ເວບ​ບ​ຣາວ​ເຊີ​ດັ່ງ​ກ່າວ​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ອາດ​ຖືກ​ໂຈມ​ຕີ​ໄດ້

ຮູບ​ທີ 1 ຕົວ​ຢ່າງ​ຂໍ້ຄວາມ​ທີ່​ສະແດງ​ວ່າ​ເວບ​ບ​ຣາວ​ເຊີ​ຂອງ​ຜູ້​ໃຊ້​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ອາດ​ຖືກ​ໂຈມ​ຕີ

  2. ໃນ​ລະຫວ່າງ​ທີ່​ຖ້າການປັບປຸງ​ ຈາກ​ທາງ​ຜູ້​ຜະລິດ ສຳລັບ​ຜູ້​ທີ່​ໃຊ້ Android Browser ຫຼື Safari ແນະ​ນຳ​ໃຫ້​ຫຼີ​ກລ້ຽງ​ໄປ​ໃຊ້​ເວບ​ບ​ຣາວ         ເຊີ​ຕົວ​ອື່ນ​ຊົ່ວ​ຄາວ​ກ່ອນ​ໄດ້​ແກ່ Mozilla Firefox

  3. ປັບປຸງ​ເວບ​ບ​ຣາວ​ເຊີ ແລະ ​ລະບົບ​ປະຕິບັດການ​ຢ່າ​ງສະໝ່ຳສະເໝີ


ສຳລັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ

  1. ກວດ​ສອບ​ວ່າ​ ເຊີເວີ​ທີ່​ໃຊ້​ງານ​ໂປ​ໂຕຄອນ SSL/TLS ຮອງ​ຮັບ RSA export-grade cipher suite ຫຼື ​ບໍ່ ໂດຍ​ສາມາດ​ເລືອກ​ໃຊ້​ວິທີ​ໃດ​ວິທີ​ໜຶ່ງ​ດັ່ງ​ຕໍ່ໄປ​ນີ້
    • ພິມ​ຄຳ​ສັ່ງ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​ຜ່ານ​ໂປຣ​ແກຣມ Terminal

openssl s_client -connect <ໂດ​ເມນ​ເນມ​ ຫຼື ໝາຍ​ເລກ​ໄອ​ພີ​ຂອງ​ ເຊີເວີ>: <ໝາຍ​ເລກ​ຜອດ> -cipher EXPORT

ຫາກ​ຜົນ​ລັບ​ທີ່​ໄດ້​ມີ​ຂໍ້ຄວາມ​ວ່າ handshake failure ສະແດງ​ວ່າ​ ເຊີເວີ​ບໍ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ຊ່ອງ​ໂຫ່ວ​ນີ້ ແຕ່​ຖ້າ​ຜົນ​ຮັບ​ທີ່​ໄດ້​ສະແດງ​ລາຍ​ລະອຽດ​ຂອງ SSL certificate ທາງເຊີເວີ ສະແດງ​ວ່າ​ ເຊີເວີຮອງ​ຮັບ RSA export-grade cipher suite ຊຶ່ງ​ເທົ່າ​ກັບ​ວ່າ​ ເຊີເວີ​ດັ່ງ​ກ່າວ​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ອາດ​ຖືກ​ໂຈມ​ຕີ​ໄດ້ 

  • ເຂົ້າ​ເວບ​ໄຊ  https://www.ssllabs.com/ssltest ແລ້ວ​ລະ​ບຸ​ໂດ​ເມນ​ເນມ​ຂອງ​ເວບ​ໄຊທີ່​ຕ້ອງ​ການ​ກວດ​ສອບ ເມື່ອ​ສະ​ແກນ​ສຳເລັດ​ໃຫ້​ເບິ່ງ​ຜົນ​ລັບ​ໃນ​ສ່ວນ​ຂອງ Cipher Suites ຫາກ​ພົບ​ວ່າ​ມີ Cipher suite ລາຍ​ການ​ໃດ​ທີ່​ມີ​ຄຳ​ວ່າ RSA_EXPORT ສະແດງ​ວ່າ​ເວບ​ໄຊ​ດັ່ງ​ກ່າວ​ຮອງ​ຮັບ RSA export-grade cipher suite ຊຶ່ງ​ມີ​ຄວາມ​ສ່ຽງ​ທີ່​ອາດ​ຖືກ​ໂຈມ​ຕີ​ໄດ້

ຮູບ​ທີ 2 ຕົວ​ຢ່າງ​ຜົນ​ກາ​ນສະ​ແກນ​ທີ່​ລະ​ບຸ​ວ່າ​ເວບ​ໄຊ​ຮອງ​ຮັບ RSA export-grade cipher suite

  2. ປັບປຸງ OpenSSL ທັງ​ນີ້​ໝາຍ​ເລກ​ເວີ​ຊັ່ນ​ຂອງ OpenSSL ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ນັ້ນ ອາດ​ບໍ່​ໄດ້​ສອດ​ຄ່ອງ​ກັບ​ເວີຊັ່ນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ດັ່ງ​ທີ່​ກ່າວ​ໄວ້​ຂ້າງ​ຕົ້ນ ຢ່າງໃດ​ກໍ່​ຕາມ​ຫາກ​ຜູ້​ເບິ່ງແຍງ​ໄດ້​ປັບປຸງ OpenSSL ຕັ້ງ​ແຕ່​ເມື່ອ​ຊ່ວງ​ກາງ​ເດືອ​ນມັງກອນ​ທີ່​ຜ່ານມາ ສະແດງ​ວ່າຊ໋ອບແວ​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫ່ວແລ້ວ


ອ້າງ​ອີງ

  1. https://www.smacktls.com
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
  3. https://www.openssl.org/news/secadv_20150108.txt
  4. http://www.reuters.com/article/2015/03/03/us-apple-cybersecurity-idUSKBN0LZ2GA20150303
  5. http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html
  6. https://blogs.akamai.com/2015/03/cve-2015-0204-getting-out-of-the-export-business.html
  7. https://freakattack.com
  8. https://freakattack.com/vulnerable.txt
Porher 30 March 2015 1,179 Print