Lỗ hổng nghiêm trọng mức cao trong OpenSSL cho phép tấn công DoS

Hạnh Tâm| 22/04/2020 21:40
Theo dõi ICTVietnam trên

Một bản cập nhật cho OpenSSL (một thư viện nguồn mở được sử dụng để mã hóa dữ liệu và triển khai các giao thức mạng) vừa được phát hành sẽ vá lỗ hổng có mức nghiêm trọng cao, có thể bị khai thác để tấn công từ chối dịch vụ (DoS).

Dự án OpenSSL theo dõi một lỗ hổng mang số hiệu CVE-2020-1967 được mô tả như một "lỗi phân đoạn" trong hàm SSL_check_chai.

Theo công bố về lỗ hổng: "Các ứng dụng máy chủ hoặc máy khách yêu cầu hàm SSL_check_chain() trong hoặc sau khi giao tiếp "bắt tay" TLS 1.3 gặp sự cố do một tham chiếu con trỏ NULL từ việc xử lý sai mở rộng TLS 'signature_algorithms_cert'. Sự cố xảy ra nếu một giải thuật tạo chữ ký không đúng hoặc không hợp lệ được máy tính nhận. Điều này có thể được một máy tính độc hại khai thác trong một tấn công từ chối dịch vụ".

Lỗ hổng nghiêm trọng cao trong OpenSSL cho phép tấn công DoS - Ảnh 1.

Lỗ hổng ảnh hưởng tới các phiên bản OpenSSL 1.1.1d, 1.1.1e và 1.1.1f và đã được vá với phiên bản 1.1.1g.

Các phiên bản cũ hơn 1.0.2 và 1.1.0 sẽ không nhận được các bản cập nhật do không bị ảnh hưởng bởi lỗ hổng này.

Lỗ hổng bảo mật đã được chuyên gia bảo mật Bernd Edlinger báo cáo tới Dự án OpenSSL vào ngày 7 tháng 4. Lỗ hổng được phát hiện bằng việc sử dụng công cụ phân tích mã tĩnh GCC (GNU Compiler Collection).

Đây là lỗ hổng đầu tiên được vá trong OpenSSL vào năm 2020, dù biết rằng bảo mật OpenSSL đã có sự phát triển rất lớn kể từ khi phát hiện lỗ hổng Heartbleed vào năm 2014.

Trong gần hàng chục lỗ hổng có mức nghiêm trọng cao và nguy cấp đã được phát hiện trên OpenSSL trong khoảng thời gian từ khi phát hiện Heartbleed đến cuối năm 2016. Năm 2017, chỉ phát hiện duy nhất 1 lỗ hổng nghiêm trọng mức cao và trong năm các 2018, 2019 tất cả những lỗ hổng đã được vá đều có mức nghiêm trọng thấp hoặc trung bình.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Đừng bỏ lỡ
Lỗ hổng nghiêm trọng mức cao trong OpenSSL cho phép tấn công DoS
POWERED BY ONECMS - A PRODUCT OF NEKO