หลังจากที่ประกาศก่อนหน้านี้ไปแล้วว่า OpenSSL จะออก version ใหม่ในวันที่ 10/11/2016 เพื่อปิดช่องโหว่ร้ายแรง เมื่อถึงวันที่ 10/11/2016 ทาง OpenSSL ก็ได้ออก version ใหม่เป็น OpenSSL 1.1.0c เพื่อปิดช่องโหว่และ bug ต่างๆ ซึ่งหนึ่งในนั้นคือ CVE-2016-7054 ซึ่งเป็นช่องโหว่ DoS (Denial of Service) โดยช่องโหว่ดังกล่าวเป็นการแจ้งโดย by Robert Święcki จาก Google Security Team (Project Zero)
ช่องโหว่ CVE-2016-7054 เป็นช่องโหว่ heap-based buffer overflow ที่ใช้งาน TLS connections โดยใช้ *-CHACHA20-POLY1305 cipher suites ครับ โดยจะเกิด DoS เมื่อรับ payload ที่ผิดพลาดขนาดใหญ่ครับ
Source::
- http://securityaffairs.co/wordpress/53302/hacking/cve-2016-7054-openssl.html
- https://www.openssl.org/news/secadv/20161110.txt
You May also Like
LINE@Techsuii.com
