OpenSSL รายงานช่องโหว่ในมาตรฐาน TLS กระทบการเข้ารหัสที่ใช้ Diffie-Hellman แฮกเกอร์อาจดักฟังการสื่อสารได้

OpenSSL รายงานถึงช่องโหว่ CVE-2020-1968 หรือ Racoon Attack ที่เป็นช่องโหว่ของตัวมาตรฐานการเข้ารหัส TLS เอง ทำให้ไลบรารีที่ใช้กระบวนการแลกเปลี่ยนกุญแจแบบ Diffie-Hellman โดยใช้ค่าความลับแบบคงที่ (pre-master secret) ถูกดักฟังการสื่อสารที่เข้ารหัสไว้ได้ หากคนร้ายเก็บข้อมูลจากการเชื่อมต่อได้หลายๆ ครั้งและใช้ค่าความลับเดียวกันทั้งหมด

ช่องโหว่นี้ไม่กระทบ OpenSSL เวอร์ชั่น 1.1.1 ขึ้นไปเพราะได้ถอดกระบวนการเข้ารหัสที่เข้าข่ายไปทั้งหมดแล้ว ที่น่ากังวลคือ OpenSSL 1.0.2 ที่หมดซัพพอร์ตไปแล้วแต่ยังรองรับกระบวนการเข้ารหัสที่มีช่องโหว่เหล่านี้ พร้อมกับตั้งค่าเริ่มต้นไว้จนได้รับผลกระทบทั้งหมด และทาง OpenSSL จะปล่อยอัพเดต OpenSSL 1.0.2w ให้กับลูกค้าที่ซื้อซัพพอร์ตเท่านั้น

แม้ช่องโหว่ดักฟังข้อมูลที่ถูกเข้ารหัสไว้ได้จะเป็นช่องโหว่ร้ายแรง แต่ทาง OpenSSL ระบุว่ากระบวนการเข้ารหัสที่ได้รับผลกระทบนั้นไม่ค่อยมีใครใช้งานกัน จึงถือว่าช่องโหว่นี้มีความร้ายแรงระดับต่ำเท่านั้น

ที่มา – OpenSSL

from:https://www.blognone.com/node/118354