OpenSSL vá lỗ hổng Logjam, DoS

OpenSSL 1.0.2b, 1.0.1n, 1.0.0s và 0.9.8zg đã được tung ra. Phiên bản mới nhất của bộ công cụ mã nguồn mở SSL/TLS giải quyết các vấn đề bảo mật trung bình và ít nghiêm trọng.

Lỗ hổng Logjam đã được vá trong OpenSSL 1.0.2b và 1.0.1n. Lỗ hổng này khá giống với FREAK có thể bị khai thác thông qua tấn công man-in-the-middle (MitM) nhằm giảm cấp kết nối TLS  xuống mã hóa 512-bit export-grade. OpenSLL loại bỏ xử lý tham biến Diffie-Hellman nhỏ hơn 768bit. Giới hạn này sẽ được tăng lên 1024bit trong các phiên bản sắp tới.

Một lỗ hổng từ chối dịch vụ (DoS) gây ra bởi cấu trúc ECParameters ảnh hưởng trên OpenSSL 1.0.2, 1.0.1, 1.0.0d và các phiên bản cũ. Phiên bản 1.0.0 và 0.9.8 không bị ảnh hưởng. một lỗ hổng DoS khác cũng được vá trong hàm X509_cmp_time (CVE-2015-1789). Lỗ hổng được báo cáo bởi Google có thể bị khai thác với những chứng chỉ xấu hoặc danh sách chứng chỉ thu hồi (CRL) đối với ứng dụng kiểm tra chứng chỉ hoặc CRL.

Nhà nghiên cứu Michal Zalewski phát hiện ra ứng dụng giải mã dữ liệu PKCS#7 hoặc xử lý cấu trúc PKCS#7 từ nguồn không đáng tin cậy có thể dẫn đến treo do hàm EncryptedContent  không được xử lý đúng (CVE-2015-1790). Lỗ hổng này không ảnh hưởng đến client và server OpenSSL.

Người dùng và quản trị viên hệ thống được khuyến cáo cập nhật càng sớm càng tốt.

securityweek