Lỗ hổng nghiêm trọng trong OpenSSL cho phép tin tặc giải mã lưu lượng HTTPS

OpenSSL Foundation vừa mới phát hành bản vá cho một lỗ hổng độ nguy hiểm cao trong thư viện code mật mã cho phép tin tặc chiếm khóa giải mã kết nối HTTPS và các kênh Transport layer security (TLS).

OpenSSL là một thư viện mã nguồn mở được sử dụng rộng rãi trong các ứng dụng dành cho việc truyền tải dữ liệu bảo mật. Hầu hết các website đều sử dụng nó để kích hoạt Sockets Layer (SSL) hoặc mã hóa Transport Layer Security (TLS).

Tuy nhiên, sau lỗ hổng Heartbleed được phát hiện vào năm ngoái, OpenSSL đã được thêm nhiều nhà nghiên cứu bảo mật điều tra chuyên sâu hơn. Lỗ hổng mới nhất ảnh hưởng tới OpenSSL phiên bản 1.0.1 và  1.0.2 đã được vá trong OpenSSL phiên bản 1.0.1r và 1.0.2f.

Đội ngũ nhân viên OpenSSL đã vá hai lỗ hổng riêng biệt. Lỗ hổng nguy hiểm hơn có định danh CVE-2016-0701, xử lý vấn đề trong chi tiết cài đặt của thuật toán trao đổi khóa Difie-Hellman. Tin tặc có thể khai thác lỗ hổng bằng cách tạo nhiều kết nối đến máy chủ, tìm kiếm khóa riêng tư Diffie-Hellman nếu máy chủ sử dụng lại khóa riêng tư hoặc sử dụng một bộ mã hóa Diffie-Hellman tĩnh.

Người dùng được khuyến cáo áp dụng các bản vá càng sớm càng tốt. Các phiên bản OpenSSL 0.9.8 và 1.0.0 đã dừng hỗ trợ vào tháng 12. Phiên bản OpenSSL 1.0.1 sẽ dừng hỗ trợ vào cuối năm nay.

THN