Trong công văn đã đưa danh sách các phiên bản thư viện OpenSSL có lỗ hổng Heartbleed là các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f.
VNCERT cũng dẫn công bố của hãng Codenomicon về một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 và 5.4, FreeBSD 10.0, NetBSD 5.0.2, OpenSUSE 12.2.
VNCERT đánh giá đây là một trong những lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có sử dụng giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.
Theo khuyến cáo của VNCERT, muốn biết hệ thống có bị lỗi OpenSSL hay không, các cơ quan, tổ chức cần thực hiện lệnh “openssl version”, sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.
Cách tốt nhất để khắc phục lỗi an toàn thông tin đặc biệt nghiêm trọng nêu trên là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu lỗ hổng.
Có thể xem chi tiết Công văn cảnh báo nguy cơ mất an toàn thông tin cho các hệ thống sử dụng thư viện OpenSSL của VNCERT theo địa chỉ sau:
http://www.vncert.gov.vn/tainguyen/Canh_bao_nguy_co_mat_ATTT_cho_cac_he_thong_su_dung_OpenSSL.pdf
15:34 | 15/01/2011
14:34 | 01/02/2008
10:00 | 13/05/2024
NSA và FBI cảnh báo rằng nhóm tin tặc có tên APT43 (có mối liên hệ với Triều Tiên) đã khai thác các chính sách Tuân thủ và báo cáo xác thực thư dựa trên tên miền (DMARC) để che giấu các cuộc tấn công lừa đảo.
10:00 | 24/04/2024
Bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại trong lĩnh vực an toàn thông tin. Tọa đàm “Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 26/4 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về vấn đề này.
10:00 | 22/04/2024
Một plugin thương mại dành cho WordPress có tên LayerSlider, đang được sử dụng trong hơn một triệu trang web tồn tại lỗ hổng SQL injection mà không yêu cầu người dùng xác thực.
12:00 | 29/02/2024
Meta Platforms đã thực hiện một loạt các biện pháp nhằm hạn chế các hoạt động gián điệp mạng từ 8 công ty khác nhau có trụ sở tại Ý, Tây Ban Nha và Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Những phần mềm gián điệp này nhắm mục tiêu vào các thiết bị iOS, Android và Windows.
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024