เมื่อวันที่ 13/12/2016 ที่ผ่านมา OpenSSL ได้ออก patch ช่องโหว่ Denial of Service (ทำให้ระบบไม่สามารถให้บริการได้) ช่องโหว่ดังกล่าวถูกเรียกว่า “SSL Death Alert” ซึ่งจะทำให้ OpenSSL Server ล่มได้ โดยช่องโหว่ดังกล่าวตรวจพบโดย Shi Lei จากทีม Gear , Qihoo 360 Inc.

Version ที่ได้รับผลกระทบ: 1.1.0, 1.0.2 – 1.0.2h, All 1.0.1, All 0.9.8

“SSL Death Alert” เป็นช่องโหว่ที่เกิดจากการรับ SSL Message “SSL3_AL_WARNING” มากเกินไป จากการตรวจสอบพบว่า แค่เกิน 5 Message ใน 1 Connection อาจทำให้ OpenSSL Server ล่มได้

ตอนนี้ทาง OpenSSL ได้ออก patch มาแก้ไขปัญหาดังกล่าวโดยเพิ่มการแจ้งเตือน “SSL_R_TOO_MANY_WARN_ALERTS ” เมื่อได้รับ “SSL3_AL_WARNING” มากเกิน 5 Message แล้วครับ

Source:: Mcfee