Lỗ hổng nghiêm trọng trong OpenSSL cho phép tin tặc giải mã lưu lượng HTTPS

OpenSSL Foundation vừa mới phát hành bản vá cho một lỗ hổng độ nguy hiểm cao trong thư viện code mật mã cho phép tin tặc chiếm khóa giải mã kết nối HTTPS và các kênh Transport layer security (TLS).

OpenSSL-bug-2016

OpenSSL là một thư viện mã nguồn mở được sử dụng rộng rãi trong các ứng dụng dành cho việc truyền tải dữ liệu bảo mật. Hầu hết các website đều sử dụng nó để kích hoạt Sockets Layer (SSL) hoặc mã hóa Transport Layer Security (TLS).

Tuy nhiên, sau lỗ hổng Heartbleed được phát hiện vào năm ngoái, OpenSSL đã được thêm nhiều nhà nghiên cứu bảo mật điều tra chuyên sâu hơn. Lỗ hổng mới nhất ảnh hưởng tới OpenSSL phiên bản 1.0.1 và  1.0.2 đã được vá trong OpenSSL phiên bản 1.0.1r và 1.0.2f.

Đội ngũ nhân viên OpenSSL đã vá hai lỗ hổng riêng biệt. Lỗ hổng nguy hiểm hơn có định danh CVE-2016-0701, xử lý vấn đề trong chi tiết cài đặt của thuật toán trao đổi khóa Difie-Hellman. Tin tặc có thể khai thác lỗ hổng bằng cách tạo nhiều kết nối đến máy chủ, tìm kiếm khóa riêng tư Diffie-Hellman nếu máy chủ sử dụng lại khóa riêng tư hoặc sử dụng một bộ mã hóa Diffie-Hellman tĩnh.

Người dùng được khuyến cáo áp dụng các bản vá càng sớm càng tốt. Các phiên bản OpenSSL 0.9.8 và 1.0.0 đã dừng hỗ trợ vào tháng 12. Phiên bản OpenSSL 1.0.1 sẽ dừng hỗ trợ vào cuối năm nay.

Hướng dẫn upgrade OpenSSL từ source

Cài các gói cần thiết để build

apt-get install -y make gcc zlib1g-dev

Tải source từ trang chủ và giải nén

cd ~; wget https://www.openssl.org/source/openssl-1.0.1r.tar.gz  
tar -xvzf openssl-1.0.1r.tar.gz

Nếu dùng OpenSSL 1.0.2f:

https://www.openssl.org/source/openssl-1.0.2f.tar.gz

Cấu hình và cài đặt

cd openssl-1.0.1r  
./config —prefix=/usr --openssldir=/etc/ssl --libdir=lib shared zlib-dynamic
make  
make test  
make install

Chúc các bạn cập nhập thành công

Đặng Đình Công

Mình là Đặng Đình Công. Công việc hiện tại của mình là quản trị viên hệ thống mạng máy tính. Hiện tại mình đang học, nghiên cứu và làm việc về mảng hệ thống và bảo mật Microsoft, Cisco, ảo hóa VMware,... Blog được lập ra với phương diện cá nhân nên chắc sẽ không tránh khỏi nhiều sai sót. Mong được sự góp ý của tất cả các bạn.

You may also like...