ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ເລື່ອງ: ລະ​ວັງ​ໄພ ຊ່ອງ​ໂຫວ່​ໃນ OpenSSL ຜູ້​ບໍ່​ຫວັງ​ດີ​ສາມາດ​ລັກ​ຂໍ້​ມູນ​ໃນ Memory ຈາກ​ເຄື່ອງ​ຂອງ​ເຫຍື່ອ​ໄດ້ (Heartbleed, CVE-2014-0160) 

ປະ​ເພດ​ໄພ​ຄຸກ​ຄາມ: Other

ຂໍ້​ມູນ​ທົ່ວ​ໄປ 

OpenSSL ເປັນ​ໄລ​ບຣາ​ລີ​ສຳລັບ​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ​ຜ່ານ​ໂປ​ໂຕ​ຄອນ SSL ແລະ TLS ຊຶ່ງ​ເປັນ​ໄລ​ບຣາລີ​ແບບ Open source ເຮັດໃຫ້​ຜູ້​ພັດທະນາ​ຊ໋ອບ​ແວ​ຫຼາຍ​ເຈົ້າ​ນຳ​ໄລ​ບຣາ​ລີ​ດັ່ງ​ກ່າວ​ນີ້​ໄປ​ໃຊ້​ໃນ​ຊ໋ອບ​ແວຂອງ​ຕົນເອງ ຕົວ​ຢ່າງ​ໂປ​ຣແກຣມ​ທີ່​ໃຊ້​ງານ​ໄລ​ບຣາ​ລີ OpenSSL ເຊັ່ນ ລະບົບ​ປະຕິບັດການ Linux, ເວບເຊີເວີ, ໂປຣ​ແກຣມ​ແຊັດ ຫຼື ໂປຣ​ແກຣມ​ສຳລັບ​ເຊື່ອມ​ຕໍ່ VPN ເປັນ​ຕົ້ນ

ເມື່ອ​ວັນທີ 7 ເມ​ສາ 2014 ທາງ OpenSSL ໄດ້​ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫວ່​ໃນ​ຊ໋ອບແວ OpenSSL ເວີ​ຊັ່ນ 1.0.1 ເຖິງ 1.0.1f [1] ໂດຍ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ຢູ່ໃນ​ສ່ວນ​ຂອງ​ການ​ເຊື່ອມ​ຕໍ່ TLS/DTLS ໃນ​ສ່ວນ​ທີ່​ເປັນ Heartbeat extension ທີ່​ເອົາ​ໄວ້​ກວດ​ສອບ​ວ່າ​ໂຮສ​(Host) ທີ່​ເຊື່ອມ​ຕໍ່​ຢູ່​ດ້ວຍ​ນັ້ນ​ຍັງ​ເຮັດວຽກ​ຢູ່​ ຫຼື ​ບໍ່  [2]

ເນື່ອງ​ຈາກ​ສ່ວນ Heartbeat extension ອະນຸຍາດ​ໃຫ້​ລະບົບ​ໃດໆ ກໍ່​ຕາມ​ສາມາດ​ສົ່ງ Request ເຂົ້າ​ມາ​ເພື່ອ​ໃຫ້​ເຄື່ອງ​ປາຍ​ທາງ​ຕອບ​ກັບ ແຕ່​ຂະ​ບວນ​ການ​ນີ້​ມີ​ຄວາມ​ຜິດ​ພາດ​ໃນ​ຂັ້ນ​ຕອນ​ການ​ກວດ​ສອບ​ຂໍ້​ມູນ ເຮັດໃຫ້​ໃນ​ກໍລະນີ​ທີ່ Request ທີ່​ສົ່ງ​ເຂົ້າ​ມາ​ມີ​ການ​ລະ​ບຸ​ຄວາມ​ຍາວ​ຂອງ​ຂໍ້​ມູນ​ທີ່​ສົ່ງ​ກັບ​ຫລາຍກວ່າ​ຂະໜາດ​ຂອງ Request ເຄື່ອງ​ປາຍ​ທາງ​ຈະ​ໄປ​ອ່ານ​ຂໍ້​ມູນ​ຈາກ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ຕົວ​ເຄື່ອງ​ອອກ​ມາ ແລ້ວ​ສົ່ງ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ​ກັບ​ໄປ​ໃຫ້​ຜູ້​ທີ່​ຮ້ອງ​ຂໍ  [3]

ຂໍ້​ມູນ​ທີ່​ເຄື່ອງ​ປາຍ​ທາງ​ຈະ​ສົ່ງ​ກັບ​ໄປ​ໃຫ້​ຜູ້​ທີ່​ຮ້ອງ​ຂໍ​ເປັນ​ຂໍ້​ມູນ​ຂະໜາດ 64 KB ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ໃນ​ຕຳແໜ່ງ​ທີ່​ໃກ້​ຄຽງ​ກັບ​ຂໍ້​ມູນ​ທີ່​ໂປ​ເຊດ​(Process) ຂອງ OpenSSL ໃຊ້​ງານ​ຢູ່ ຊຶ່ງ​ຂໍ້​ມູນ​ທີ່​ຢູ່ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຈະ​ຖືກ​ເກັບ​ແບບ​ບໍ່​ມີ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ ແລະ ​ອາດ​ມີ​ຂໍ້​ມູນ​ສຳຄັນ​ຖືກ​ເກັບ​ຢູ່ໃນ​ຕຳແໜ່ງ​ນີ້ ເຊັ່ນ ລະ​ຫັດ​ຜ່ານ ໝາຍ​ເລກ​ບັດ​ລະ​ເຄ​ດິດ ຫຼື Private Key ຂອງ​ລະບົບ​ທີ່​ໃຊ້​ງານ OpenSSL ຈຶ່ງ​ເຮັດໃຫ້​ມີ​ໂອ​ກາດ​ສູງ​ທີ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ຈະ​ເຊື່ອມ​ຕໍ່​ເຂົ້າ​ມາ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ເຄື່ອງ​ປາຍ​ທາງ​ໄດ້  [4]

ເຖິງແມ່ນວ່າ​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ອ່ານ​ໄດ້​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ເຄື່ອງ​ປາຍ​ທາງ ຈະ​ສາມາດ​ນຳ​ອອກ​ໄປ​ໄດ້​ແຕ່ເທື່ອ​ລະ​ບໍ່​ເກີນ 64 KB ແຕ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ກໍ່​ສາມາດ​ທີ່​ຈະ​ສົ່ງ Request ເຂົ້າ​ມາ​ເລື້ອຍ​ໆ ເພື່ອ​ດຶງ​ຂໍ້​ມູນ​ໃນ​ສ່ວນ​ທີ່​ເຫຼືອ ​ແລະ ​ນຳ​ຂໍ້​ມູນ​ທີ່​ໄດ້​ໄປ​ປະ​ຕິດ​ປະ​ຕໍ່​ໃຫ້ເປັນ​ຂໍ້​ມູນ​ເຕັມໆ ໄດ້

 

ຜົນ​ກະທົບ 

ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ຜົນ​ກະທົບ​ທັງ​ກັບ​ຜູ້​ໃຊ້​ທົ່ວ​ໄປ ​ແລະ ​ຜູ້​ໃຫ້​ບໍລິການ​ຜ່ານ​ອິນ​ເຕີ​ເນັດ ຊຶ່ງ​ທັງ​ສອງ​ກຸ່ມ​ນີ້​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ຖືກ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ຫນ່ວຍ​ຄວາມ​ຈຳ

ຕົວ​ຢ່າງ​ຄວາມ​ເສຍ​ຫາຍ​ທີ່​ເກີດ​ກັບ​ຜູ້​ໃຊ້​ທົ່ວ​ໄປ ເຊັ່ນ ຜູ້​ໃຊ້​ເປີດ​ໃຊ້​ງານ​ໂປຣ​ແກຣມ​ທີ່​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL/TLS ທີ່​ພັດທະນາ​ໂດຍ​ໃຊ້​ໄລ​ບຣາ​ລີ OpenSSL ເວີ​ຊັ່ນ​ທີ່​ມີ​ຊ່ອງ​ໂຫວ່ ຫາກ​ຜູ້​ໃຊ້​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL ກໍ່​ມີ​ໂອ​ກາດ​ທີ່​ຈະ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ລັກ​ຂໍ້​ມູນ​ທີ່​ຢູ່ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ໄດ້ ຂຶ້ນ​ຢູ່​ກັບ​ວ່າ​ໂປຣ​ແກຣມ​ທີ່​ໃຊ້​ງານ​ນັ້ນ​ຄື​ໂປ​ຣແກຣມ​ຫຍັງ ເຊັ່ນ ເວບຣ​າວ​ເຊີ ໂປຣ​ແກຣມ​ຮັບ​ສົ່ງ​ອີ​ເມລ ໂປຣ​ແກຣມ​ແຊັດ ໂປຣ​ແກຣມ Cloud storage ຫຼື ໂປຣ​ແກຣມ​ເຊື່ອມ​ຕໍ່ VPN

ຕົວ​ຢ່າງ​ຄວາມ​ເສຍ​ຫາຍ​ທີ່​ເກີດ​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ​ທີ່​ເປີດ​ໃຊ້​ງານ​ເວບເຊີເວີ​ທີ່​ໃຊ້​ການ​ເຊື່ອມ​ຕໍ່​ແບບ SSL ກໍ່​ມີ​ໂອ​ກາດ​ສູງ​ທີ່​ຈະ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ອອກ​ໄປ​ຈາກ​ໜ່ວຍ​ຄວາມ​ຈຳ ເຊັ່ນ ລະ​ຫັດ​ຜ່ານ​ຂອງ​ຜູ້​ທີ່​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ ຫຼືPrivate key ທີ່​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ລັບ​ຂໍ້​ມູນ ຊຶ່ງ​ຫາກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ໄດ້​ຂໍ້​ມູນ​ໃນ​ສ່ວນ​ນີ້​ໄປ​ກໍ່​ອາດ​ຖອດລະ​ຫັດ​ລັບ​ທຸກ​ຢ່າງ​ທີ່​ເຄີຍ​ມີ​ການ​ແລກ​ປ່ຽນ​ຜ່ານ​ເຄື່ອງເຊີເວີ​ໄດ້

ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ 

ຊ໋ອບແວ OpenSSL ເວີຊັ່ນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້  [5]

  • 1.0.1
  • 1.0.1: beta1 ເຖິງ 1.0.1: beta3
  • 1.0.1a ເຖິງ 1.0.1f
  • 1.0.2-beta1

ຜູ້​ໃຫ້​ບໍລິການ​ອ້າງ​ຕາມ list ຂອງ cert/cc  [6]

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ​ ແລະ ​ແກ້​ໄຂ 

 [ສຳລັບ​ຜູ້​ເບິ່ງແຍງ​ລະບົບ]

1. ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ຄວນ​ອັບ​ເດດ​ຊ໋ອບແວ OpenSSL ທີ່​ໃຊ້​ງານ​ໃນ​ທັນ​ທີ ເມື່ອ​ອັບ​ເດດ​ຊ໋ອບແວສຳເລັດ​ແລ້ວ​ໃຫ້​ກວດ​ສອບ​ໝາຍ​ເລກ​ເວີຊັ່ນ​ວ່າ​ຊ໋ອບແວ​ໄດ້ຮັບ​ການ​ອັບ​ເດດ​ແລ້ວ

ສຳລັບ​ລະບົບ​ປະຕິບັດການ​ທີ່​ບໍລິຫານ​ຈັດການ​ດ້ວຍ DPKG ເຊັ່ນ Debian Ubuntu 

dpkg -s openssl

ສຳລັບ​ລະບົບ​ປະຕິບັດການ​ທີ່​ບໍລິຫານ​ຈັດການ​ດ້ວຍ RPM ເຊັ່ນ CentOS Redhat 

rpm -q --info openssl

2. ປ່ຽນ SSL Certificate ໃໝ່

ຢ່າງໃດ​ກໍ່​ຕາມ ເວີຊັ່ນ​ລ່າ​ສຸດ​ຂອງ​ຊ໋ອບ​ແວ OpenSSL ທີ່​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ນີ້​ແລ້ວ​ເທິງ​ລະບົບ​ປະຕິບັດການ Linux ນັ້ນ ອາດ​ມີ​ໝາຍ​ເລກ​ເວີ​ຊັ່ນ​ທີ່​ເບິ່ງຄືກັບ​ເປັນ​ສ່ວນໜຶ່ງ​ຂອງ​ເວີ​ຊັ່ນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ດັ່ງ​ທີ່​ລະ​ບຸ​ໄວ້​ຂ້າງ​ຕົ້ນ ເຊັ່ນ ຊ໋ອບແວ OpenSSL ເທິງ​ລະບົບ​ປະຕິບັດການ Debian ເວີ​ຊັ່ນ​ທີ່​ໄດ້ຮັບ​ການ​ແກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ແລ້ວ​ຄື 1.0.1e-2+deb7u5 ຫຼື ສູງ​ກວ່າ ແລະ​ ໃນ​ແຕ່​ລະ​ລະບົບ​ປະຕິບັດການ​ອາດ​ມີ​ໝາຍ​ເລກ​ເວີຊັ່ນ​ລ່າ​ສຸດ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ໄປ ດັ່ງ​ນັ້ນ ຜູ້​ໃຊ້​ຈຶ່ງ​ຄວນ​ກວດ​ສອບ​ຈາກ​ເວບ​ໄຊທາງ​ການ​ຂອງ​ແຕ່​ລະ​ລະບົບ​ປະຕິບັດການ​ອີກ​ເທື່ອ ເຊັ່ນ Debian [7], Ubuntu [8], Red Hat Enterprise Linux [9] ແລະ FreeBSD  [10]

3. ຜູ້​ເບິ່ງແຍງ​ລະບົບ​ສາມາດ​ກວດ​ສອບ​ບັນຫາ​ຂອງ​ໂຫວ່​ດັ່ງ​ກ່າວໄດ້ທີ່ https://www.ssllabs.com/ssltest/

News Images: openssl.png

ຮູບ​ທີ 1 ໜ້າ​ຈໍ​ສະແດງ​ບໍລິການ​ກວດ​ສອບ​ຊ່ອງ​ໂຫວ່​

 [ສຳລັບ​ຜູ້​ໃຊ້​ງານ]

1. ຜູ້​ໃຊ້​ງານ​ສາມາດ​ກວດ​ສອບ​ບັນຫາ​ຂອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ທີ່ https://www.ssllabs.com/ssltest ຫາກ​ພົບ​ວ່າ​ບໍລິການ​ທີ່​ກຳ​ລັງ​ຈະ​ເຂົ້າ​ໃຊ້​ງານ​ມີ​ຊ່ອງ​ໂຫວ່ Heartbleed ໃຫ້​ຢຸດ​ການ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ນັ້ນ​ກ່ອນ​ທັນ​ທີ

2. ປ່ຽນລະ​ຫັດ​ຜ່ານ​ກັບ​ເວບ​ໄຊ​ທີ່​ເຂົ້າ​ໃຊ້​ງານ​ດ້ວຍ​ລະ​ຫັດ​ຜ່ານ​ໃໝ່ ລວມ​ເຖິງລະ​ຫັດ​ຜ່ານ​ສຳລັບ​ການ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ ອີງ​ຕາມ list ຂອງ cert/cc [6] ແລະ ​ໃນ​ກໍລະນີ​ທີ່​ໃຊ້​ງານ​ຫຼາຍ​ເວບ​ໄຊ ຫຼື ​ລະບົບ ໃຫ້​ເລືອກ​ປ່ຽນລະ​ຫັດ​ຜ່ານ​ທີ່​ແຕກ​ຕ່າງ​ກັນ

3. ເມື່ອ​ຮູ້​ຕົວ​ວ່າ​ໃຊ້​ງານ Wi-Fi ສາທາລະນະ​ໃຫ້​ລະ​ມັດ​ລະ​ວັງ​ການ​ໃຊ້​ງານ​ ຫຼື  ​ຫລີກ​ລ້ຽງ​ເຂົ້າ​ເວບ​ໄຊ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ ເຊັ່ນ ເວບ​ໄຊທະ​ນາ​ຄານ​ອອນ​ລາຍ ຫຼື ​ເວບ​ໄຊ​ອີ​ເມລ

4. ກວດ​ສອບ​ປະຫວັດ​ການ​ລັອກ​ອິນ​ເຂົ້າ​ໃຊ້​ງານ​ລະບົບ​ທີ່​ສຳຄັນ​ເພື່ອ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ບໍ່​ມີ​ການ​ລັອກ​ອິນ​ຈາກ​ບຸກ​ຄົນ​ອື່ນ

5. ຕິດ​ຕາມ​ຂ່າວ​ສານ​ກ່ຽວກັບ​ບັນຫາ​ຊ່ອງ​ໂຫວ່ HeartBleed ຈາກ​ເວບ​ໄຊທີ່​ໜ້າ​ເຊື່ອ​ຖື​ ຫຼື ​ເທິງ​ເວບ​ໄຊ​ລາວເຊີດ



ອ້າງ​ອີງ 

  1. https://www.openssl.org/news/secadv_20140407.txt
  2. https://tools.ietf.org/html/rfc6520
  3. http://heartbleed.com
  4. http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
  5. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
  6. http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=720951&SearchOrder=4
  7. http://www.debian.org/security/2014/dsa-2896
  8. http://www.ubuntu.com/usn/usn-2165-1
  9. https://rhn.redhat.com/errata/RHSA-2014-0376.html
  10. http://www.freebsd.org/security/advisories/FreeBSD-SA-14:06.openssl.asc

ເອກະສານອ້າງອີງຈາກ ThaiCERT