Lỗ hổng nghiêm trọng trong OpenSSL cho phép giải mã lưu lượng HTTPS

OpenSSL vừa mới phát hành một loạt các bản cập nhật cho 6 lỗ hổng, hai trong số đó có mức độ nghiêm trọng cao cho phép tin tặc thực thi mã độc trên máy chủ web cũng như giải mã lưu lượng HTTPS.

OpenSSL là một thư viện mã hóa mã nguồn mở được sử dụng rộng rãi trên Internet, giúp mã hóa bảo vệ dữ liệu web nhạy cảm và lưu lượng email thông qua giao thức Secure Sockets Layer (SSL) và Transport Layer Security (TLS).

Lỗ hổng nghiêm trọng thứ nhất có mã là CVE-2016-2107, cho phép tin tặc thực hiện tấn công “Padding Oracle“, giải mã lưu lượng HTTPS nếu kết nối sử dụng mã hóa AES-CBC và máy chủ hỗ trợ AES-NI. Padding Oracle tồn tại trong OpenSSL từ năm 2013 và sau đó OpenSSL cũng vá một lỗ hổng tương tự có tên Lucky 13.

Lỗ hổng Padding Oracle làm suy yếu cơ chế mã hóa bằng cách cho phép tin tặc liên tục yêu cầu phần dữ liệu có thể đọc được trong một nội dung mã hóa.

Lỗ hổng nghiêm trọng thứ hai có mã là CVE-2016-2108 là một lỗ hổng làm sai bộ nhớ nằm trong chuẩn OpenSSL ASN.1 dành cho việc mã hóa, truyền tải và giải mã dữ liệu. Lỗ hổng chỉ ảnh hưởng trên OpenSSL phiên bản trước tháng 4/2015. Mặc dù nó đã được vá vào tháng 6/2015 nhưng không đạt được hiệu quả như mong đợi, do đó Oracle đã phải phát hành một bản cập nhật khác.

Chi tiết kĩ thuật về lỗ hổng OpenSSL nghiêm trọng đăng tải tại CloudFlare.

Bản cập nhật bảo mật mới được phát hành dành cho OpenSSL phiên bản 1.0.1 và 1.0.2. Quản trị viên mạng được khuyến cáo áp dụng các bản cập nhật sớm nhất có thể.

THN