Tag: Heartbleed

สืบเนื่องจาก Heartbleed Bug: OpenSSL Security Flaw ซึ่งทำให้บริการที่ใช้ secure protocol ที่ใช้งาน OpenSSL 1.0.1 เกิดความไม่ปลอดภัยอีกต่อไป จากเหตุการณ์เช่นนี้ทำให้ผู้ดูแลระบบที่มีการใช้ OpenSSL ต้องทำการตรวจสอบระบบของตนเองว่ามีช่องโหว่ตรงส่วนนี้หรือไม่ ซึ่งถ้าหากมีอยู่จำนวน server อยู่ไม่มากก็สามารถตรวจสอบและแก้ไขได้ง่าย แต่สำหรับผู้ดูแลระบบที่ต้องดูแล server จำนวนมากก็จะต้องใช้เวลาในการตรวจสอบค่อนข้างนาน

security researchers ประกาศพบ bug ในไลบรารี OpenSSL version 1.0.1 – 1.0.1f และ 1.0.2beta โดยใช้ชื่อว่า Heartbleed (CVE-2014-0160) Bug ที่เกิดขึ้นนี้ทำให้ attacker ส่ง heartbeat message ที่ไม่สมบูรณ์ไปยังเป้าหมายและเครื่องเป้าหมายจะทำการส่งข้อมูลที่เก็บอยู่ใน memory กลับไป โดยการโจมตีแต่ละครั้งจะสามารถดึงข้อมูลมาได้ 64 kilobytes แต่ถ้าหาก attacker ทำการโจมตีเรื่อยๆก็จะสามารถได้ข้อมูลที่ต้องการได้ครบถ้วน…