OpenSSL vá lỗ hổng nghiêm trọng chưa được công bố

Hãy cẩn trọng! Quản trị hệ thống và bất cứ ai dựa trên OpenSSL nên chuẩn bị chuyển sang phiên bản mới của thư viện mã nguồn mở được phát hành vào thứ năm 9/7 này.

OpenSSL là một thư viện phần mềm mã nguồn mở được sử dụng rộng rãi để cung cấp kết nối Internet được mã hóa bằng cách sử dụng SSL/TLS cho phần lớn các trang web, cũng như các dịch vụ an ninh khác.

Các phiên bản mới của thư viện mã hóa OpenSSL, phiên bản 1.0.2d và 1.0.1p, giải quyết một lỗ hổng bảo mật duy nhất được phân loại ở “mức độ nghiêm trọng cao”, OpenSSL Project Team công bố vào hôm thứ 2 tuần này.

Hiện không có thêm chi tiết nào về lỗ hổng bảo mật bí ẩn, ngoại trừ một thực tế là lỗ hổng bảo mật không ảnh hưởng đến các seri 1.0.0 hay 0.9.8.

“OpenSSL Project Team xin thông báo về việc chuẩn bị phát hành phiên bản OpenSSL 1.0.2d và 1.0.1p”, nhà phát triển Mark J Cox tuyên bố trong một lưu ý hôm qua.

“Các thông cáo sẽ được thực hiện vào ngày 9/7. Họ sẽ sửa chữa một lỗ hổng bảo mật duy nhất được phân loại mức độ nghiêm trọng ‘cao’. Lỗ hổng này không ảnh hưởng đến phiên bản 1.0.0 hoặc 0.9.8”.

Việc công bố các phiên bản mới của OpenSSL có thể để ngăn chặn những kẻ tấn công khai thác lỗ hổng trước khi bản sửa chữa được phát hành công khai.

Một số chuyên gia bảo mật cho rằng lỗ hổng với mức độ nghiêm trọng cao này có thể là lỗ hổng Heartbleed hoặc POODLE khác, được coi như những lỗ hổng bảo mật TLS/SSL tồi tệ nhất có ảnh hưởng đến các trang web trên Internet ngày nay.

Heartbleed, được phát hiện vào tháng 4 năm ngoái, là một lỗ hổng trong phiên bản trước của OpenSSL cho phép tin tặc đọc nội dung nhạy cảm của dữ liệu được mã hóa của nạn nhân, bao gồm cả các chi tiết thẻ tín dụng và thậm chí ăn cắp các key SSL được mã hóa từ các máy chủ Internet hoặc hoặc con.

Vài tháng sau, một lỗ hổng quan trọng được gọi là POODLE – Padding Oracle On Downgraded Legacy Encryption – đã từng xuất hiện trong thập kỷ trước nhưng sử dụng rộng rãi giao thức mã hóa SSL 3.0 cho phép kẻ tấn công giải mã nội dung của các kết nối được mã hóa.

Tuy nhiên, một loạt các lỗ hổng có tính nghiêm trọng cao đã được sửa vào tháng 3 năm nay, bao gồm lỗ hổng tấn công từ chối dịch vụ (DoS) (CVE-2015-0291) cho phép kẻ tấn công phá hủy các dịch vụ trực tuyến, và FREAK (CVE-2015-0204) cho phép kẻ tấn công bắt buộc khách hàng sử dụng mã hóa yếu kém.

THN

 

Bình luận

Từ khóa: