

› ອອນລາຍ : | 1 |
› ມື້ນີ້ : | 10 |
› ມື້ວານນີ້ : | 22 |
› ອາທິດນີ້ : | 10 |
› ເດືອນນີ້ : | 532 |
ພຶດຕິກໍາທີ່ເປັນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ທີ່ໄດ້ລະບຸໄວ້ຢູ່ໃນ ກົດໝາຍ: ວ່າດວ້ຍ ການຕ້ານ ແລະ ສະກັດກັ້ນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ລວມມີພຶດຕິກໍາດັ່ງນີ້: 1. ການເປີດເຜີຍມາດຕະການປ້ອງກັນການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ; 2. ການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ ໂດຍນບໍ່ໄດ້ຮັບອະນຸຍາດ; 3. ການຕັດຕໍ່ເນື້ອໃນ, ຮູບ, ພາບເຄື່ອນໄຫວ, ສຽງ ແລະ ວີດີໂອ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 4. ການລັດເອົາຂໍ້ມູນໃນລະບົບຄອມພິວເຕີ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 5. ການສ້າງຄວາມເສັຍຫາຍຜ່ານສື່ສັງຄົມອອນລາຍ; 6. ການເຜີຍແຜ່ສິ່ງລາມົກຜ່ານລະບົບຄອມພິວເຕີ; 7. ການລົບກວນລະບົບຄອມພິວເຕີ; 8. ການປອມແປງຂໍ້ມູນຄອມພິວເຕີ; 9. ການທຳລາຍຂໍ້ມູນ-ຄອມພິວເຕີ; 10. ການດຳເນີນກິດຈະການ ກ່ຽວກັບເຄື່ອງມືອາຊະຍາກຳທາງລະບົບຄອມພິວເຕີ.
ຊ່ອງໂຫວ່ໃນຊ໋ອບແວທີ່ໃຊ້ງານໂປໂຕຄອນ SSL/TLS ຜູ້ບໍ່ຫວັງດີສາມາດຖອດລະຫັດລັບຂໍ້ມູນຂອງຜູ້ໃຊ້ໄດ້ (FREAK)
ໃນວັນທີ 3 ມີນາ ນັກວິໄຈຈາກ INRIA, Microsoft Research ແລະ IMDEA Software ໄດ້ເປີດເຜີຍລາຍລະອຽດຂອງຊ່ອງໂຫ່ວ FREAK (Factoring RSA Export Keys) ໂດຍຊ່ອງໂຫ່ວດັ່ງກ່າວອາໄສຄຸນສົມບັດຂອງຊ໋ອບແວທາງຜູ້ໃຊ້ ແລະ ຜູ້ໃຫ້ບໍລິການທີ່ຮອງຮັບຮູບແບບການເຂົ້າລະຫັດລັບ ຫລື Cipher suite ຂອງໂປໂຕຄອນ SSL/TLS ໄດ້ຫຼາຍລະດັບ ເປີດໂອກາດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດຫຼອກລວງໃຫ້ປາຍທາງສ້າງການເຊື່ອມຕໍ່ກັບຕົນໂດຍໃຊ້ Cipher suite ທີ່ມີຄວາມແຂງແຮງຕ່ຳ ເພື່ອໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດຖອດລະຫັດລັບຂໍ້ມູນທີ່ຮັບສົ່ງຫາກັນໃນທາງປະຕິບັດໄດ້ [1] ຊ່ອງໂຫ່ວດັ່ງກ່າວໃນຊ໋ອບແວ OpenSSL ໄດ້ຖືກປະກາດ ໝາຍເລກ CVE ເປັນ CVE-2015-0204 ແລະ ມີການປັບປຸງແກ້ໄຂຊ່ອງໂຫ່ວດັ່ງກ່າວຕັ້ງແຕ່ເດືອນມັງກອນທີ່ຜ່ານມາ [2] [3] ໃນຂະນະທີ່ທາງ Apple ໄດ້ລະບຸວ່າກຳລັງພັດທະນາແພັດ (Patch) ຊຶ່ງຈະເປີດໃຫ້ປັບປຸງໄດ້ພາຍໃນອາທິດໜ້າ ສ່ວນທາງ Google ລະບຸວ່າໄດ້ສົ່ງແພັດໃຫ້ກັບຜູ້ຜະລິດແລ້ວ ແຕ່ບໍ່ສາມາດລະບຸໄດ້ວ່າຜູ້ໃຊ້ຈະໄດ້ຮັບການປັບປຸງເມື່ອໃດ [4]
ສຳລັບສາເຫດທີ່ຊ໋ອບແວໃນປະຈຸບັນຍັງຄົງຮອງຮັບ Cipher suite ທີ່ມີຄວາມແຂງແຮງຕ່ຳນັ້ນ ມີທີ່ມາຈາກຂໍ້ບັງຄັບຂອງ ສະຫະລັດອາລິກາ ໃນສະໄໝກ່ອນທີ່ກຳນົດໃຫ້ນັກພັດທະນາຕ້ອງຫຼຸດຄວາມແຂງແຮງຂອງ Cipher suite ລົງກ່ອນທີ່ຈະສົ່ງຜະລິດຕະພັນ ຫຼື ເທັກໂນໂລຍີໃດໆ ທີ່ກ່ຽວຂ້ອງອອກນອກປະເທດ (Cipher suite ທີ່ຖືກຫຼຸດຜ່ອນຄວາມແຂງແຮງລົງເຫຼົ່ານີ້ມັກຖືກເອີ້ນວ່າເປັນແບບ Export-grade ໂດຍຈະມີຄຳວ່າ EXP ຫຼື EXPORT ປະກົດຢູ່ໃນຊື່ຂອງ Cipher suite) ສົ່ງຜົນໃຫ້ອັນກໍລິທຶມ RSA ທີ່ຖືກໃຊ້ງານນອກ ສະຫາລັດອາເມລິກາ ຈະມີຄວາມຍາວຂອງກຸນແຈເຂົ້າລະຫັດລັບໄດ້ສູງສຸດພຽງ 512 bits ຊຶ່ງປະຈຸບັນຖືວ່າມີຄວາມແຂງແຮງຕ່ຳ ແລະ ບໍ່ແນະນຳໃຫ້ໃຊ້ງານແລ້ວ ໃນຂະນະທີ່ລະບົບຕ່າງໆ ທີ່ເປີດໃຫ້ບໍລິການພາຍໃນ ສະຫາລັດອາເມລິກາ ກໍ່ຈຳເປັນທີ່ຈະຕ້ອງຮອງຮັບ Cipher suite ເຫຼົ່ານີ້ ເພື່ອໃຫ້ຜູ້ໃຊ້ທີ່ຢູ່ນອກ ສະຫາລັດອາເມລິກາ ສາມາດເຂົ້າມາໃຊ້ງານໄດ້ ຊຶ່ງໃນປະຈຸບັນພົບວ່າມີເວບໄຊຈຳນວນຫຼາຍທີ່ຍັງຄົງຮອງຮັບ RSA export-grade cipher suite ຢູ່ [5][6]
ຈາກຜົນການວິໄຈໂດຍນັກວິໄຈຈາກ University of Michigan ພົບວ່າ ເວບໄຊທີ່ໃຊ້ໂປໂຕຄອນ HTTPS ກວ່າ 36.7% ຈາກທົ່ວໂລກຍັງຄົງຮອງຮັບ RSA export-grade cipher suite [7] .
ຜົນກະທົບ
ຜູ້ໃຊ້ທົ່ວໄປມີຄວາມສ່ຽງທີ່ຈະຖືກໂຈມຕີດ້ວຍເທກນິກ Man-in-the-middle ສົ່ງຜົນໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດດັກຮັບແລະ ຖອດລະຫັດລັບຂໍ້ມູນທີ່ຮັບສົ່ງກັນລະຫວ່າງຜູ້ໃຊ້ ແລະ ເຊີເວີ ໂດຍທີ່ຜູ້ໃຊ້ຈະບໍ່ພົບເຫັນຄວາມຜິດປົກກະຕິໃດໆ ຕົວຢ່າງເຊັ່ນ ຜູ້ໃຊ້ຈະຍັງຄົງເຫັນວ່າ SSL certificate ຂອງເວບໄຊທີ່ໃຊ້ໂປໂຕຄອນ HTTPS ໄດ້ຮັບການຮັບຮອງຢ່າງຖືກຕ້ອງ
ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ
ຂໍ້ແນະນຳໃນການປ້ອງກັນແລະແກ້ໄຂ
ສຳລັບຜູ້ໃຊ້ທົ່ວໄປ
ຮູບທີ 1 ຕົວຢ່າງຂໍ້ຄວາມທີ່ສະແດງວ່າເວບບຣາວເຊີຂອງຜູ້ໃຊ້ມີຄວາມສ່ຽງທີ່ອາດຖືກໂຈມຕີ
2. ໃນລະຫວ່າງທີ່ຖ້າການປັບປຸງ ຈາກທາງຜູ້ຜະລິດ ສຳລັບຜູ້ທີ່ໃຊ້ Android Browser ຫຼື Safari ແນະນຳໃຫ້ຫຼີກລ້ຽງໄປໃຊ້ເວບບຣາວ ເຊີຕົວອື່ນຊົ່ວຄາວກ່ອນໄດ້ແກ່ Mozilla Firefox
3. ປັບປຸງເວບບຣາວເຊີ ແລະ ລະບົບປະຕິບັດການຢ່າງສະໝ່ຳສະເໝີ
ສຳລັບຜູ້ເບິ່ງແຍງລະບົບ
openssl s_client -connect <ໂດເມນເນມ ຫຼື ໝາຍເລກໄອພີຂອງ ເຊີເວີ>: <ໝາຍເລກຜອດ> -cipher EXPORT
ຫາກຜົນລັບທີ່ໄດ້ມີຂໍ້ຄວາມວ່າ handshake failure ສະແດງວ່າ ເຊີເວີບໍ່ໄດ້ຮັບຜົນກະທົບຈາກຊ່ອງໂຫ່ວນີ້ ແຕ່ຖ້າຜົນຮັບທີ່ໄດ້ສະແດງລາຍລະອຽດຂອງ SSL certificate ທາງເຊີເວີ ສະແດງວ່າ ເຊີເວີຮອງຮັບ RSA export-grade cipher suite ຊຶ່ງເທົ່າກັບວ່າ ເຊີເວີດັ່ງກ່າວມີຄວາມສ່ຽງທີ່ອາດຖືກໂຈມຕີໄດ້
ຮູບທີ 2 ຕົວຢ່າງຜົນການສະແກນທີ່ລະບຸວ່າເວບໄຊຮອງຮັບ RSA export-grade cipher suite
2. ປັບປຸງ OpenSSL ທັງນີ້ໝາຍເລກເວີຊັ່ນຂອງ OpenSSL ເທິງລະບົບປະຕິບັດການ Linux ນັ້ນ ອາດບໍ່ໄດ້ສອດຄ່ອງກັບເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບດັ່ງທີ່ກ່າວໄວ້ຂ້າງຕົ້ນ ຢ່າງໃດກໍ່ຕາມຫາກຜູ້ເບິ່ງແຍງໄດ້ປັບປຸງ OpenSSL ຕັ້ງແຕ່ເມື່ອຊ່ວງກາງເດືອນມັງກອນທີ່ຜ່ານມາ ສະແດງວ່າຊ໋ອບແວໄດ້ຮັບການແກ້ໄຂຊ່ອງໂຫ່ວແລ້ວ
ອ້າງອີງ