Friday, June 6, 2014

OpenSSL vá thêm lỗi bảo mật cực kì nghiêm trọng

Trong khi đang khắc phục hậu quả từ Heartbleed, OpenSSL lại dính lỗi bảo mật mới được công bố hôm 1/5 và đưa ra bản vá hôm nay, 5/6/2004.
Một trong những lỗi bảo mật quan trọng nhất được vá hôm nay đó là SSL/TLS MITM (CVE-2014-0224) - tấn công bằng người trung gian. Lỗi này cho phép tin tặc nghe lén và thay đổi nội dung thông điệp giữa máy khách và máy chủ.
Điểm khác biệt với Hearbleed là lỗi này đã có từ rất lâu và ảnh hưởng đến mọi phiên bản OpenSSL hiện tại. Cụ thể, OpenSSL trên máy khách các phiên bản 0.9.8, 1.0.0, 1.0.1 và máy chủ 1.0.1, 1.0.2-beta1 bị ảnh hưởng.
Vào đầu tuần, GnuTLS cũng phát hành bản vá cho lỗi CVE-2014-3466 liên quan đến thông báo ServerHello cho phép tin tặc thực thi mã lệnh bất kì trên cả phía máy chủ và máy khách. Lỗi này được phát hiện hôm 15/5 bới Codenomicon, công ty đã phát hiện lỗi Heartbleed.
Sau sự cố Heartbleed, các đại gia công nghệ đã nhận thấy tầm quan trọng của thư viện này và tăng cường hỗ trợ cho "các dự án cần được giúp đỡ".

VN-Zone - Tin nhanh công nghệ - Tin tuc cong nghe - Thong tin cong nghe

No comments:

Post a Comment