OpenSSL khuyến nghị người dùng nâng cấp phiên bản 3.0.5

13:00 | 21/07/2022 | DOANH NGHIỆP

Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS. Chúng được sử dụng rộng rãi nhằm phục vụ đa số các website trong các máy chủ web Internet. Là phương thức bảo mật được sử dụng phổ biến nhất, OpenSSL luôn phải đối mặt với những nguy cơ bảo mật.

OpenSSL khuyến nghị người dùng nâng cấp phiên bản 3.0.5

Một lỗ hổng được phân loại với mức độ nghiêm trọng trung bình đã được phát hiện trong OpenSSL phiên bản 3.0.4 trên nền tảng x86 32-bit vào ngày 05/07/2022. Lỗ hổng định danh CVE-2022-2097 ảnh hưởng đến quá trình triển khai mã hóa AES OCB (Advanced Encryption Standard - Offset codebook mode) - một phương thức mã hóa hoạt động dựa trên mã hóa khối, cung cấp cũng như tính riêng tư cho dữ liệu người dùng.

Chế độ AES-OCB cho nền tảng x86 32 bit được sử dụng triển khai tối ưu hóa tập chỉ lệnh mã hóa mới AES-NI của Intel và AMD, giúp cải tiến thuật toán AES và tăng tốc độ mã hóa dữ liệu. Lỗ hổng tác động đến AES-OCB làm cho dữ liệu không được mã hóa toàn bộ trong một số trường hợp, dẫn tới một số thông tin nhạy cảm hoặc quan trọng không được mã hóa trước khi lưu trữ hoặc truyền tải, gây ảnh hưởng đến tính riêng tư, tính bảo mật của dữ liệu. Nghiên cứu cho biết 16 byte dữ liệu đã tồn tại từ trước trong bộ nhớ chưa được ghi có thể bị rò rỉ. Tuy nhiên, OpenSSL không hỗ trợ bộ mật mã dựa trên OCB cho TLS và DTLS (Datagram TLS) nên cả hai đều không bị ảnh hưởng.

Tấn công này có thể được phát động từ xa mà không cần bất kỳ hình thức xác thực nào. Các chuyên gia khuyến cáo, cách giảm thiểu tốt nhất là nâng cấp lên phiên bản 3.0.5.

OpenSSL cũng vừa phát hành bản vá cho lỗ hổng với mức độ nghiêm trọng trong thư viện mật mã, có thể bị khai thác để thực thi mã từ xa trong một số tình huống nhất định. Lỗ hổng được đặt tên là CVE-2022-2274 với mức độ nghiêm trọng cao, được mô tả là lỗi bộ nhớ với thao tác khóa RSA đã được giới thiệu trong OpenSSL phiên bản 3.0.4, phát hành ngày 21/06/2022. Lỗ hỗng này làm cho việc triển khai khóa RSA 2048 bit không chính xác và có khả năng làm hỏng bộ nhớ trong quá trình tính toán. Do hậu quả của việc hỏng bộ nhớ, kẻ tấn công có thể kích hoạt và thực hiện các hành vi gây hại.

Vấn đề nằm trong phiên bản OpenSSL 3.0.4 ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng. Máy chủ cài đặt SSL/TLS hoặc các máy chủ khác sử dụng khóa riêng RSA 2048-bit đang chạy trên các máy hỗ trợ các lệnh AVX512IFMA của kiến trúc x86_64 bị ảnh hưởng bởi vấn đề này. Người dùng phiên bản OpenSSL 3.0.4 được khuyến nghị nâng cấp lên phiên bản OpenSSL 3.0.5 càng sớm càng tốt.

Trương Đình Dũng

‹ › ×

Tin liên quan

Lỗ hổng nghiêm trọng trong PHP ảnh hưởng đến các thiết bị QNAP NAS

08:00 | 29/06/2022

Nhà cung cấp phần cứng QNAP (Đài Loan) đưa ra cảnh báo tới khách hàng về việc một số thiết bị ổ cứng kết nối mạng NAS (với cấu hình không phải mặc định) bị ảnh hưởng bởi một lỗ hổng nghiêm trọng trong PHP dẫn đến thực thi mã từ xa.

OpenSSL phát hành bản vá cho hai lỗ hổng nghiêm trọng

08:00 | 07/11/2022

OpenSSL vừa phát hành bản vá cho 2 lỗ hổng nghiêm trọng trong thư viện mã nguồn mở được dùng để mã hóa các kênh giao tiếp và kết nối HTTPS.

Cập nhật bản vá lỗ hổng bảo mật tháng 6/2022

09:00 | 30/06/2022

Trung tuần tháng 6, Microsoft, Adobe và Mozilla đã phát hành các bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cảnh báo phần mềm độc hại âm thầm trừ tiền người dùng

09:00 | 08/07/2022

Trong một bài đăng gần đây trên blog, 2 nhà nghiên cứu Dimitrios Valsamaras và Sang Shin Jung của Microsoft đã trình bày chi tiết về sự phát triển của phần mềm độc hại gian lận cước phí và cách nó tấn công người dùng Android như thế nào. Theo Microsoft, các phần mềm độc hại âm thầm trừ tiền người dùng vẫn liên tục phát triển, tuy nhiên sẽ có một số cách để ngăn chặn chúng.

Tin cùng chuyên mục

OpenAI tích hợp tính năng tìm kiếm mới vào ChatGPT

13:00 | 11/11/2024

Không chỉ dừng lại ở việc trò chuyện, ChatGPT nay đã được OpenAI trang bị thêm tính năng tìm kiếm với sự hỗ trợ của AI, hứa hẹn tạo nên làn sóng cạnh tranh mới trong lĩnh vực tìm kiếm trực tuyến vốn đang bị thống trị bởi Google.

Instagram thiết lập lá chắn kỹ thuật số bảo vệ an toàn cho thanh thiếu niên

13:00 | 07/10/2024

Instagram đã ra mắt một bộ tính năng mới được thiết kế để đảm bảo an toàn cho thanh thiếu niên khi sử dụng nền tảng này. Bộ tính năng này như một lá chắn kỹ thuật số, bảo vệ người dùng trẻ khỏi các tin nhắn không mong muốn, nội dung không phù hợp và thời gian sử dụng quá mức.

Microsoft sẽ khai tử ứng dụng Windows Paint 3D

13:00 | 21/08/2024

Microsoft thông báo rằng ứng dụng đồ họa Paint 3D sẽ ngừng hoạt động vào cuối năm nay và sẽ bị xóa khỏi Microsoft Store vào tháng 11.

Viện Blockchain và Trí tuệ Nhân tạo ABAII công bố Hội đồng Giảng viên

17:00 | 05/08/2024

Ngày 03/8/2024, đông đảo các chuyên gia Blockchain và AI khắp ba miền Bắc, Trung, Nam đã tham gia buổi gặp gỡ định kỳ của Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII nhằm góp ý kiến hoàn thiện Quy chế Hội đồng Giảng viên (HĐGV), thảo luận về kế hoạch hoạt động và các trọng tâm giảng dạy, phổ cập Blockchain và AI trong thời gian tới.