OpenSSL lại dính lỗi bảo mật giúp tin tặc thay đổi nội dung thông tin

Trong số 6 lỗi bảo mật thuộc thư viện mã nguồn mở Open SSL vừa được phát hành bản vá ngày 5/6/2014, lỗi nghiêm trọng nhất là CVE-2014-0224 - cho phép tin tặc theo dõi và thay đổi nội dung được trao đổi giữa máy chủ và máy trạm.


Ông Hà Thế Phương, Giám đốc Bảo mật CMC Infosec, cho biết: CVE-2014-0224 là một lỗ hổng ảnh hướng đến giao thức SSL và TLS của bộ thư viện OpenSSL, cho phép kẻ tấn công theo dõi và thay đổi nội dung thông tin được trao đổi giữa máy chủ và máy trạm.


Kẻ tấn công có thể khai thác lỗ hổng này khi thỏa mãn 2 điều kiện: cả máy trạm và máy chủ sử dụng OpenSSL đều có lỗ hổng này; kẻ tấn công phải có khả năng đứng giữa máy trạm và máy chủ để có thể sửa các gói tin truyền đi giữa máy trạm và máy chủ.


lổ hổng OpenSSL

Không nghiêm trọng bằng lỗ hổng "Trái tim rỉ máu" tháng trước nhưng lỗ hổng mới của OpenSSL cũng thuộc diện khá nguy hiểm. Ảnh minh họa. Nguồn: Intermet.


Theo kịch bản tấn công, tin tặc sẽ chờ đợi một kết nối TLS mới, tìm cách cài đặt lại một quy tắc mã hóa yếu, đàm phán lại thông số rồi giải mã hoặc thay đổi nội dung của thông tin.


Các phiên bản bị ảnh hưởng bởi lỗ hổng CVE-2014-0224 được chia thành 2 loại gồm: các phiên bản cho máy trạm là 0.9.8, 1.0.0, 1.0.1,và phiên bản cho máy chủ  là 1.0.1, 1.0.2-beta1.


Tính đến thời điểm hiện tại, OpenSSL Foundation đã phát hành bản vá hoàn chỉnh cho CVE-2014-0224 và hối thúc người dùng cập nhật bản vá sớm nhất có thể.


"Dù rằng CVE-2014-0224 không nghiêm trọng bằng lỗ hổng Heartbleed (trái tim rỉ máu) xuất hiện tháng trước, nhưng sau hàng loạt sự vụ đối với OpenSSL, giới chuyên môn cũng như doanh nghiệp cũng cần phải cái nhìn khác về tầm quan trọng của thư viện mã nguồn mở này  để có những đầu tư thích hợp trong tương lai", đại diện CMC Infosec khuyến nghị.









OpenSSL lai dinh loi bao mat giup tin tac thay doi noi dung thong tin


Trong so 6 loi bao mat thuoc thu vien ma nguon mo Open SSL vua duoc phat hanh ban va ngay 5/6/2014, loi nghiem trong nhat la CVE-2014-0224 - cho phep tin tac theo doi va thay doi noi dung duoc trao doi giua may chu va may tram.


Ong Ha The Phuong, Giam doc Bao mat CMC Infosec, cho biet: CVE-2014-0224 la mot lo hong anh huong den giao thuc SSL va TLS cua bo thu vien OpenSSL, cho phep ke tan cong theo doi va thay doi noi dung thong tin duoc trao doi giua may chu va may tram.


Ke tan cong co the khai thac lo hong nay khi thoa man 2 dieu kien: ca may tram va may chu su dung OpenSSL deu co lo hong nay; ke tan cong phai co kha nang dung giua may tram va may chu de co the sua cac goi tin truyen di giua may tram va may chu.


lo hong OpenSSL

Khong nghiem trong bang lo hong "Trai tim ri mau" thang truoc nhung lo hong moi cua OpenSSL cung thuoc dien kha nguy hiem. Anh minh hoa. Nguon: Intermet.


Theo kich ban tan cong, tin tac se cho doi mot ket noi TLS moi, tim cach cai dat lai mot quy tac ma hoa yeu, dam phan lai thong so roi giai ma hoac thay doi noi dung cua thong tin.


Cac phien ban bi anh huong boi lo hong CVE-2014-0224 duoc chia thanh 2 loai gom: cac phien ban cho may tram la 0.9.8, 1.0.0, 1.0.1,va phien ban cho may chu  la 1.0.1, 1.0.2-beta1.


Tinh den thoi diem hien tai, OpenSSL Foundation da phat hanh ban va hoan chinh cho CVE-2014-0224 va hoi thuc nguoi dung cap nhat ban va som nhat co the.


"Du rang CVE-2014-0224 khong nghiem trong bang lo hong Heartbleed (trai tim ri mau) xuat hien thang truoc, nhung sau hang loat su vu doi voi OpenSSL, gioi chuyen mon cung nhu doanh nghiep cung can phai cai nhin khac ve tam quan trong cua thu vien ma nguon mo nay  de co nhung dau tu thich hop trong tuong lai", dai dien CMC Infosec khuyen nghi.


OpenSSL lại dính lỗi bảo mật giúp tin tặc thay đổi nội dung thông tin

Trong số 6 lỗi bảo mật thuộc thư viện mã nguồn mở Open SSL vừa được phát hành bản vá ngày 5/6/2014, lỗi nghiêm trọng nhất là CVE-2014-0224 - cho phép tin tặc theo dõi và thay đổi nội dung được trao đổi giữa máy chủ và máy trạm.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá