Thứ bảy, 23/11/2024

Tìm kiếm

Giới thiệu chung
Đại hội VAIP IX
Hoạt động hội
Tin tức ICT
Môi trường - Chính sách
Doanh nghiệp - Hội viên
Sản phẩm - Công nghệ
Giao thương
Nguồn lực cho CNTT
Phần mềm nguồn mở
Xã hội ICT
Gặp gỡ ICT đầu xuân
Hội thảo HT-PT
ICT Caravan 2023
Lịch sử tin học Việt Nam
Chương trình hành động
Hội viên
ICT Tennis
Kỷ yếu 30 năm OLP
Liên hệ
  Cập nhật: 09/06/2014
OpenSSL lại dính lỗi bảo mật giúp tin tặc thay đổi nội dung thông tin

Trong số 6 lỗi bảo mật thuộc thư viện mã nguồn mở Open SSL vừa được phát hành bản vá ngày 5/6/2014, lỗi nghiêm trọng nhất là CVE-2014-0224 - cho phép tin tặc theo dõi và thay đổi nội dung được trao đổi giữa máy chủ và máy tram.

Ông Hà Thế Phương, Giám đốc Bảo mật CMC Infosec, cho biết: CVE-2014-0224 là một lỗ hổng ảnh hướng đến giao thức SSL và TLS của bộ thư viện OpenSSL, cho phép kẻ tấn công theo dõi và thay đổi nội dung thông tin được trao đổi giữa máy chủ và máy trạm.

Kẻ tấn công có thể khai thác lỗ hổng này khi thỏa mãn 2 điều kiện: cả máy trạm và máy chủ sử dụng OpenSSL đều có lỗ hổng này; kẻ tấn công phải có khả năng đứng giữa máy trạm và máy chủ để có thể sửa các gói tin truyền đi giữa máy trạm và máy chủ.

lổ hổng OpenSSL

Không nghiêm trọng bằng lỗ hổng "Trái tim rỉ máu" tháng trước nhưng lỗ hổng mới của OpenSSL cũng thuộc diện khá nguy hiểm. Ảnh minh họa. Nguồn: Intermet.

Theo kịch bản tấn công, tin tặc sẽ chờ đợi một kết nối TLS mới, tìm cách cài đặt lại một quy tắc mã hóa yếu, đàm phán lại thông số rồi giải mã hoặc thay đổi nội dung của thông tin.

Các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2014-0224 được chia thành 2 loại gồm: các phiên bản cho máy trạm là 0.9.8, 1.0.0, 1.0.1,và phiên bản cho máy chủ  là 1.0.1, 1.0.2-beta1.

Tính đến thời điểm hiện tại, OpenSSL Foundation đã phát hành bản vá hoàn chỉnh cho CVE-2014-0224 và hối thúc người dùng cập nhật bản vá sớm nhất có thể.

"Dù rằng CVE-2014-0224 không nghiêm trọng bằng lỗ hổng Heartbleed (trái tim rỉ máu) xuất hiện tháng trước, nhưng sau hàng loạt sự vụ đối với OpenSSL, giới chuyên môn cũng như doanh nghiệp cũng cần phải cái nhìn khác về tầm quan trọng của thư viện mã nguồn mở này  để có những đầu tư thích hợp trong tương lai", đại diện CMC Infosec khuyến nghị.

Theo Ictnews.vn

  Trang trước    | Về đầu trang
Bình luận - Comment (FB):
tin hoc doi song
Công ty cổ phần Minh Việt
hanoi
Hiệp hội doanh nghiệp điện tử Việt Nam
automation
technoaid
Dự báo thời tiết
  Powered and Designed by MinhViet Technology Group
HỘI TIN HỌC VIỆT NAM
Người chịu trách nhiệm nội dung: Ông Nguyễn Long - Tổng Thư Ký - Hội Tin Học Việt Nam
Head office: 6th floor, 14 Tran Hung Dao Str., Hanoi,Vietnam - Tel:84-24-38211725 - Fax:84-24-38211708 - Email: office@vaip.vn
Copyright 2003-2006 by VAIP. All rights reserved
Designed by InteCom (MinhViet JSC) - Powered by MVC-Web CMS 2.0