OpenSSL khuyến nghị người dùng nâng cấp phiên bản 3.0.5

13:00 | 21/07/2022 | DOANH NGHIỆP

Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS. Chúng được sử dụng rộng rãi nhằm phục vụ đa số các website trong các máy chủ web Internet. Là phương thức bảo mật được sử dụng phổ biến nhất, OpenSSL luôn phải đối mặt với những nguy cơ bảo mật.

OpenSSL khuyến nghị người dùng nâng cấp phiên bản 3.0.5

Một lỗ hổng được phân loại với mức độ nghiêm trọng trung bình đã được phát hiện trong OpenSSL phiên bản 3.0.4 trên nền tảng x86 32-bit vào ngày 05/07/2022. Lỗ hổng định danh CVE-2022-2097 ảnh hưởng đến quá trình triển khai mã hóa AES OCB (Advanced Encryption Standard - Offset codebook mode) - một phương thức mã hóa hoạt động dựa trên mã hóa khối, cung cấp tính xác thực cũng như tính riêng tư cho dữ liệu người dùng.

Chế độ AES-OCB cho nền tảng x86 32 bit được sử dụng triển khai tối ưu hóa tập chỉ lệnh mã hóa mới AES-NI của Intel và AMD, giúp cải tiến thuật toán AES và tăng tốc độ mã hóa dữ liệu. Lỗ hổng tác động đến AES-OCB làm cho dữ liệu không được mã hóa toàn bộ trong một số trường hợp, dẫn tới một số thông tin nhạy cảm hoặc quan trọng không được mã hóa trước khi lưu trữ hoặc truyền tải, gây ảnh hưởng đến tính riêng tư, tính bảo mật của dữ liệu. Nghiên cứu cho biết 16 byte dữ liệu đã tồn tại từ trước trong bộ nhớ chưa được ghi có thể bị rò rỉ. Tuy nhiên, OpenSSL không hỗ trợ bộ mật mã dựa trên OCB cho TLS và DTLS (Datagram TLS) nên cả hai đều không bị ảnh hưởng.

Tấn công khai thác lỗ hổng này có thể được phát động từ xa mà không cần bất kỳ hình thức xác thực nào. Các chuyên gia khuyến cáo, cách giảm thiểu tốt nhất là nâng cấp lên phiên bản 3.0.5.

OpenSSL cũng vừa phát hành bản vá cho lỗ hổng với mức độ nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định. Lỗ hổng được đặt tên là CVE-2022-2274 với mức độ nghiêm trọng cao, được mô tả là lỗi bộ nhớ với thao tác khóa RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022. Lỗ hỗng này làm cho việc triển khai khóa RSA 2048 bit không chính xác và có khả năng làm hỏng bộ nhớ trong quá trình tính toán. Do hậu quả của việc hỏng bộ nhớ, kẻ tấn công có thể kích hoạt thực thi mã từ xa và thực hiện các hành vi gây hại.

Vấn đề nằm trong phiên bản OpenSSL 3.0.4 ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng. Máy chủ cài đặt SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048-bit đang chạy trên các máy hỗ trợ các lệnh AVX512IFMA của kiến trúc x86_64 bị ảnh hưởng bởi vấn đề này. Người dùng phiên bản OpenSSL 3.0.4 được khuyến nghị nâng cấp lên phiên bản OpenSSL 3.0.5 càng sớm càng tốt.

Trương Đình Dũng

‹ › ×

Tin liên quan

Lỗ hổng nghiêm trọng trong PHP ảnh hưởng đến các thiết bị QNAP NAS

08:00 | 29/06/2022

Nhà cung cấp phần cứng QNAP (Đài Loan) đưa ra cảnh báo tới khách hàng về việc một số thiết bị ổ cứng kết nối mạng NAS (với cấu hình không phải mặc định) bị ảnh hưởng bởi một lỗ hổng nghiêm trọng trong PHP dẫn đến thực thi mã từ xa.

OpenSSL phát hành bản vá cho hai lỗ hổng nghiêm trọng

08:00 | 07/11/2022

OpenSSL vừa phát hành bản vá cho 2 lỗ hổng nghiêm trọng trong thư viện mã nguồn mở được dùng để mã hóa các kênh giao tiếp và kết nối HTTPS.

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2022

09:00 | 30/06/2022

Trung tuần tháng 6, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cảnh báo phần mềm độc hại âm thầm trừ tiền người dùng

09:00 | 08/07/2022

Trong một bài đăng gần đây trên blog, 2 nhà nghiên cứu Dimitrios Valsamaras và Sang Shin Jung của Microsoft đã trình bày chi tiết về sự phát triển của phần mềm độc hại gian lận cước phí và cách nó tấn công người dùng Android như thế nào. Theo Microsoft, các phần mềm độc hại âm thầm trừ tiền người dùng vẫn liên tục phát triển, tuy nhiên sẽ có một số cách để ngăn chặn chúng.

Tin cùng chuyên mục

Google dự kiến tính phí dịch vụ tìm kiếm AI

09:00 | 19/04/2024

Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.

Microsoft phát hành bản vá Patch Tuesday khắc phục 60 lỗ hổng, 18 lỗi RCE

16:00 | 13/03/2024

Ngày 12/3, gã khổng lồ công nghệ Microsoft phát hành bản vá bảo mật Patch Tuesday tháng 3 để giải quyết 60 lỗ hổng. Đáng lưu ý, trong đó có 18 lỗ hổng thực thi mã từ xa (RCE).

Bối cảnh mối đe dọa mạng liên quan đến ngành trò chơi trực tuyến năm 2023

09:00 | 13/02/2024

Ngành công nghiệp trò chơi hiện nay vẫn đang trên đà phát triển, theo thống kê của công ty tư vấn và nghiên cứu thị trường Grand View Research (Mỹ), doanh thu trò chơi trên toàn cầu ước tính khoảng 242,39 tỷ USD, với gần một nửa trong số đó đến từ khu vực châu Á - Thái Bình Dương (APAC). Với doanh thu và số lượng người chơi ngày càng tăng, ngành công nghiệp trò chơi được dự báo tiếp tục trở thành mục tiêu “hấp dẫn” của tội phạm mạng, những thể loại trò chơi phổ biến đang được sử dụng làm mồi nhử cho các chiến dịch độc hại. Bài viết này trình bày những phát hiện chính về các mối đe dọa mạng liên quan đến ngành công nghiệp trò chơi trong năm 2023, dựa trên báo cáo tổng hợp của hãng bảo mật Kaspersky.

Cập nhật bản vá lỗ hổng bảo mật tháng 11

09:00 | 08/12/2023

Trong tháng 11, Microsoft, Linux và VMWare lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.