แจ้งเตือนกรณี CISA มีการเผยแพร่ให้อัปเดต OpenSSL 3.0.7

NCSA

แจ้งเตือนกรณี CISA มีการเผยแพร่ให้อัปเดต OpenSSL 3.0.7

             เมื่อวันที่ 1 พฤศจิกายน 2565 Cybersecurity and Infrastructure Security Agency (CISA) มีการเผยแพร่คำแนะนำข้อมูลเกี่ยวกับการให้อัปเดตแพตช์แก้ไขจุดอ่อนช่องโหว่ที่มีความรุนแรง^[1] ซึ่งส่งผลต่อ OpenSSL^[2] เวอร์ชัน 3.0.0 ถึง 3.0.6 มีจำนวน 2 รายการ ดังนี้

             1. หมายเลขช่องโหว่ CVE-2022-3786
             2. หมายเลขช่องโหว่ CVE-2022-3602

              อาจทำให้เกิดการปฏิเสธการให้บริการ เนื่องจากเป็น 4-byte stack buffer overflow ที่ควบคุมโดยผู้โจมตีบนสแต็ก ส่งผลให้เกิดความผิดพลาด

(ทำให้เกิดการปฏิเสธบริการ) หรืออาจเรียกใช้โค้ดจากระยะไกลเข้าควบคุมระบบจนเกิดความเสียหายได้

         ทั้งนี้ CISA สนับสนุนให้ผู้ใช้งานและผู้ดูแลระบบอัปเกรดเป็น OpenSSL 3.0.7^[3] สามารถดูรายละเอียดเพิ่มเติมที่่ https://www.cisa.gov/uscert/ncas/current-activity/2022/11/01/openssl-releases-security-update

อ้างอิง

1.     https://www.cisa.gov/uscert/ncas/current-activity/2022/11/01/openssl-releases-security-update
2.     https://www.openssl.org/news/secadv/20221101.txt
3.     https://mta.openssl.org/pipermail/openssl-announce/2022-November/000241.html

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand