- เข้าร่วม
- 1 มิถุนายน 2011
- ข้อความ
- 9,392
- คะแนนปฏิกิริยา
- 0
- คะแนน
- 0
โครงการ OSS-Fuzz รายงานถึงช่องโหว่ CVE-2024-9143 ของ OpenSSL ที่พบจากโครงการย่อย OSS-Fuzz-Gen โดยมีความเป็นไปได้ที่จะเป็นช่องโหว่ remote code execution แม้น่าจะโจมตีได้ยากก็ตาม ความพิเศษของช่องโหว่นี้คือมันเป็น CVE แรกที่ OSS-Fuzz-Gen ได้
ตอนนี้ OSS-Fuzz-Gen พบบั๊กแล้วจำนวน 26 รายการตั้งแต่ปลายปีที่แล้ว และยังมีบั๊กจำนวนหนึ่งยังไม่เปิดเผย แต่บั๊กก่อนหน้านี้ไม่ได้ให้เลข CVE เอาไว้
ช่องโหว่นี้เกิดจากการตั้งค่า encoding X9.62 ที่กรณีปกติแล้วไม่มีการใช้งานกันมากนัก แม้จะเป็นช่องโหว่ remote code execution จริงก็ความเสี่ยงไม่สูงนัก แต่แอปพลิเคชั่นที่ได้รับผลกระทบต้องมีการใช้งานที่พิเศษ
OSS-Fuzz-Gen อาศัยปัญญาประดิษฐ์แบบ LLM ช่วยสร้างชุดทดสอบแบบ fuzz test โดยหากโค้ดคอมไพล์ไม่ผ่านก็จะแก้ไขด้วยตัวเองจนผ่านแล้วยิงค่า ตอนนี้โครงการรองรับภาษา C/C++/Java/Python
ที่มา - OpenSSL
Topics:
LLM
Security
OpenSSL
Continue reading...
ตอนนี้ OSS-Fuzz-Gen พบบั๊กแล้วจำนวน 26 รายการตั้งแต่ปลายปีที่แล้ว และยังมีบั๊กจำนวนหนึ่งยังไม่เปิดเผย แต่บั๊กก่อนหน้านี้ไม่ได้ให้เลข CVE เอาไว้
ช่องโหว่นี้เกิดจากการตั้งค่า encoding X9.62 ที่กรณีปกติแล้วไม่มีการใช้งานกันมากนัก แม้จะเป็นช่องโหว่ remote code execution จริงก็ความเสี่ยงไม่สูงนัก แต่แอปพลิเคชั่นที่ได้รับผลกระทบต้องมีการใช้งานที่พิเศษ
OSS-Fuzz-Gen อาศัยปัญญาประดิษฐ์แบบ LLM ช่วยสร้างชุดทดสอบแบบ fuzz test โดยหากโค้ดคอมไพล์ไม่ผ่านก็จะแก้ไขด้วยตัวเองจนผ่านแล้วยิงค่า ตอนนี้โครงการรองรับภาษา C/C++/Java/Python
ที่มา - OpenSSL
Topics:
LLM
Security
OpenSSL
Continue reading...