OpenSSL tung ra phiên bản mới nhất với những bản vá bảo mật

Nhà phát triển dự án OpenSSL đã tung ra phiên bản 1.0.2a, 1.0.1m, 1.0.0r, và 0.9.8zf  sau khi hàng loạt lỗ hổng được báo cáo bí mật.

Một trong những lỗ hổng nghiêm trọng nhất có thể được khai thác để thực hiện một cuộc tấn công từ chối dịch vụ (DoS) trên máy chủ sử dụng phiên bản 1.0.2. Lỗ hổng thứ hai bắt ban đầu được phân loại “thấp” nhưng đó chính là lỗ hổng trong mã hóa export-RSA.

Tổng cộng 12 lỗ hổng được vá trong phiên bản mới này. OpenSSL  cung cấp bộ công cụ mã nguồn mở phổ biến nhất dành cho cài đặt SSL và TLS. Nó được triển khai tại một số dịch vụ lớn bao gồm Facebook, Google, Yahoo và các cổng thông tin chính phủ. Mặc dù hầu hết các nhà phát triển đã tìm ra lỗ hổng nhưng các nhà cung cấp lớn muốn có một khoảng thời gian vá hệ thống trước thời điểm các lỗ hổng được công khai.

Vào tháng 4 năm ngoái, lỗ hổng HeartBleed đã được phát hiện trong OpenSSL có thể cho phép tin tặc giải mã nội dung dữ liệu mã hóa như thông tin thanh toán thẻ tín dụng. Gần đây nhất là lỗ hổng FREAK có thể tấn công vào mạng mã hóa thông qua cuộc tấn công man-in-the-middle.

zdnet