Thứ tư, 14/04/2021
Translate
Tìm kiếm
Giới thiệu chung VEIA
English
Tin tức và sự kiện
Doanh nghiệp hội viên VEIA
Xúc tiến thương mại
Dịch vụ trực tuyến B2B
Thế giới công nghệ
Xã hội điện tử-thông tin
Văn bản pháp quy
Hội viên Hiệp hội điện tử
English News and Events
Đại hội VEIA IV
Tạp chí Điện tử Vietnet24h, cơ quan ngôn luận của Hiệp hội Doanh nghiệp Điện tử Việt Nam
Thông tin thời tiết

  Cập nhật: 14/04/2014
Chưa hết "trái tim rỉ máu", OpenSSL dính thêm lỗi nghiêm trọng "nhịp tim"

Cơ quan, tổ chức sử dụng thư viện OpenSSL có thể là nạn nhân của lỗi an toàn thông tin có tên “TLS heartbeat read overrun” cho phép tin tặc đánh cắp từ xa các dữ liệu nhạy cảm.

Cộng đồng xã hội vẫn chưa hết dư chấn về sự kiện lỗ hổng "trái tim rỉ máu" (Heartbleed) trong OpenSSL làm giới ngân hàng lao đao về khả năng mất an toàn giao dịch trực tuyến thì OpenSSL lại tiếp tục "dính" thêm một lỗi an toàn thông tin rất nghiêm trọng khác có tên “TLS heartbeat read overrun”, cũng liên quan tới "trái tim" (heartbeat có thể tạm dịch là nhịp đập trái tim).

Theo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), ngày 7/4/2014, tổ chức cung cấp bộ thư viện OpenSSL đã xác nhận chính thức về lỗi an toàn thông tin có tên “TLS heartbeat read overrun” cho phép tin tặc từ xa có thể đánh cắp các dữ liệu nhạy cảm (như khóa bí mật - private keys) trong bộ nhớ khi tấn công các dịch vụ có sử dụng giao thức bảo mật tầng vận chuyển “TLS/DTLS heartbeat extension” do bộ thư viện OpenSSL cung cấp.

VNCERT đánh giá đây là một trong các lỗi an toàn thông tin rất nghiêm trọng, phạm vi ảnh hưởng rộng, có khả năng gây mất thông tin trong nhiều ứng dụng tài chính, ngân hàng, thư điện tử... có giao thức truyền tin siêu văn bản an toàn HTTPS sử dụng giao thức TLS của thư viện OpenSSL có lỗi để mã hóa dữ liệu trên đường truyền.

OpenSSL

VNCERT đánh giá “TLS heartbeat read overrun” là một trong những lỗi an toàn thông tin rất nghiêm trọng. Ảnh minh họa. Nguồn: Internet.

Tuy mới được công bố nhưng điểm yếu trên có khả năng ảnh hưởng rất lớn đến an toàn, bảo mật của các hoạt động giao dịch điện tử trên mạng, vì giao thức TLS được dùng phổ biến trong nhiều ứng dụng khác nhau, kể cả trong giao thức HTTPS. Các công cụ khai thác điểm yếu này đã xuất hiện trên mạng Internet và có khả năng bị tin tặc sử dụng dò quét tự động nên khả năng gây hại là rất lớn.

Danh sách các phiên bản thư viện OpenSSL có điểm yếu an toàn thông tin “TLS/DTLS heartbeat read overrun” cũng đã được công bố công khai gồm: các phiên bản 1.0.1x bao gồm: 1.0.1, 1.0.1-beta1, 1.0.1-beta2, 1.0.1-beta3, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e, 1.0.1f. Phiên bản mới nhất hiện tại 1.0.1g là bản nâng cấp và đã được vá lỗi cho dòng 1.0.1.x.

Mới đây, hãng Codenomicon cũng đã công bố một số phiên bản hệ điều hành Linux có sử dụng các phiên bản OpenSSL bị lỗi cần cập nhật nâng cấp để đảm bảo an toàn khi sử dụng, gồm: Debian Wheezy (bản stable), OpenSSL 1.0.1e-2+deb7u4; Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11; CentOS 6.5, OpenSSL 1.0.1e-15; Fedora 18, OpenSSL 1.0.1e-4; OpenBSD 5.3 (OpenSSL 1.0.1c ngày 10/5/2012) và 5.4 (OpenSSL 1.0.1c ngày10/5/2012); FreeBSD 10.0, OpenSSL 1.0.1e ngày 11/2/2013; NetBSD 5.0.2, OpenSSL 1.0.1e; OpenSUSE 12.2, OpenSSL 1.0.1c.

Theo khuyến cáo của VNCERT, để biết được hệ thống có bị lỗi “TLS heartbeat read overrun” hay không, các cơ quan, tổ chức cần thực hiện lệnh “openssl version”, sau đó đối chiếu phiên bản OpenSSL do hệ thống trả về với danh sách phiên bản OpenSSL có lỗi.

Cách tốt nhất để khắc phục lỗi “TLS heartbeat read overrun” là nâng cấp thư viện OpenSSL lên phiên bản mới nhất (hiện tại là phiên bản 1.0.1g). Bên cạnh đó, để ngăn chặn tin tặc lợi dụng khai thác thông tin, có thể áp dụng biện pháp cập nhật cơ sở dữ liệu của các thiết bị IPS hoặc IDS để phát hiện và ngắt truy cập tấn công khai thác điểm yếu ATTT “TLS heartbeat read overrun”.

Theo Ictnews.vn

  Trang trước    | Về đầu trang
Hiệp hội doanh nghiệp Điện tử Việt Nam
Hội Tin học Việt Nam
VAA
Hội tin học Thành Phố Hồ Chí Minh
Công ty TNHH MTV Hanel
Công ty CP Minh Việt
Trung tam TKNL Hanoi (ECC Hanoi)
Công ty TNHH Thiết bị Phụ tùng An Phát



www.veia.org.vn

HIỆP HỘI DOANH NGHIỆP ĐIỆN TỬ VIỆT NAM
Trụ sở chính: Tầng 11, Tòa nhà MIPEC TOWER 229 Tây Sơn, Đống Đa, Hà Nội.
Tel: (84-4) 39332845 Fax: (84-4) 39332846
Email: hiephoidientu@veia.org.vn, Website: www.veia.org.vn

.Designed by Intecom ( Minh Việt JSC and HanelCom )