Lỗ hổng nghiêm trọng trong OpenSSL cho phép tin tặc mạo danh bất kỳ chứng chỉ số SSL nào

Lỗ hổng bảo mật bí ẩn trong thư viện mã hóa OpenSSL được sử dụng rộng rãi không phải HeartBleed cũng không phải FREAK, nhưng quản trị hệ thống cần phải vá lỗ hổng này ngay lập tức.

OpenSSL Foundation phát hành một bản vá hứa hẹn sẽ ngăn chặn được một lỗ hổng nghiêm trọng  trong các phiên bản OpenSSL 1.0.1n và 1.0.2b. Bản vá này có thể giải quyết vấn đề giả mạo chứng chỉ số trong việc triển khai các giao thức mật mã.

Lỗ hổng nghiêm trọng này có thể cho phép những kẻ tấn công man-in-the-middle giả mạo các trang web mã hóa, mạng riêng ảo, hoặc các máy chủ e-mail, và thăm dò lưu lượng Internet được mã hóa.

Lỗ hổng này – (CVE-2015-1793) – xảy ra do một vấn đề thuộc quá trình xác thực. Một lỗi trong quá trình thực thi việc xác thực đã bỏ qua kiểm tra chứng chỉ mới không đáng tin cậy.

Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể phá vỡ cảnh báo chứng nhận, điều này cho phép họ “yêu cầu” các ứng dụng “nhầm lẫn” một chứng chỉ số không hợp lệ thành chứng chỉ số hợp lệ.

“Điều này đồng nghĩa với việc kẻ tấn công có thể khiến những chứng chỉ số không đáng tin cậy lại được chứng nhận là đáng tin cậy”, một cố vấn của OpenSSL giải thích.

Vấn đề này tác động đến mọi giao thức mật mã, bao gồm Transport Layer Security (TLS) hoặc Secure Sockets Layer (SSL) hoặc DTLS và các máy chủ SSL/TLS/DTLS sử dụng chứng thực.

Vấn đề bảo mật này đã được Adam Langley và David Benjamin của Google BoringSSL phát hiện. Các nhà phát triển đã thông báo về lỗ hổng tới OpenSSL ngày 24/6 và sau đó gửi bản sửa chữa để giải quyết vấn đề.

Lỗ hổng bảo mật ảnh hưởng đến các phiên bản OpenSSL 1.0.1n, 1.0.2b, 1.0.2c, và 1.0.1o. Vì vậy, chúng tôi khuyến nghị người dùng sử dụng các phiên bản OpenSSL 1.0.2b/1.0.2c nâng cấp hệ thống của mình lên phiên bản 1.0.2d và người dùng sử dụng phiên bản OpenSSL 1.0.1n/1.0.1o nâng cấp lên phiên bản 1.0.1p.

THN