Lỗ hổng nghiêm trọng trong OpenSSL cho phép tin tặc giải mã HTTPS
OpenSSL là một thư viện mã nguồn mở được sử dụng rộng rãi trong các ứng dụng dành cho việc truyền tải dữ liệu bảo mật. Hầu hết các website đều sử dụng nó để kích hoạt Sockets Layer (SSL) hoặc mã hóa Transport Layer Security (TLS).
Tuy nhiên, sau lỗ hổng Heartbleed được phát hiện vào năm ngoái, OpenSSL đã được thêm nhiều nhà nghiên cứu security điều tra chuyên sâu hơn. Đội ngũ nhân viên OpenSSL đã vá hai lỗ hổng trong openssl riêng biệt, có định danh lần lượt là CVE-2016-0701 và CVE-2015-3197. Cùng Bizfly Cloud tìm hiểu những thông tin chi tiết hơn về OpenSSL ngay tại bài viết này nhé!
Lỗ hổng CVE-2016-0701
Diffie-Hellman (DH) là phương thức cơ bản trong việc trao đổi các khóa mã hóa qua các kênh không tin cậy, cho phép các giáo thức như HTTPS, SSH, SMTPS, IPsec dùng 1 khóa bí mật để tạo một phiên kết nối riêng tư.
Tuy nhiên, các ứng dụng dựa thuật toán trao đổi khóa trên DH sinh ra các khóa tạm thời chỉ sử dụng các số nguyên tố an toàn, nhưng mặc định máy chủ lại sử dụng lại cùng các số nguyên tố này, gây ra lỗ hổng tấn cổng sử dụng lại khóa.
Tin tặc có thể khai thác lỗi hổng này bằng cách tạo nhiều phiên kết nối với máy chủ và tìm kiếm được khóa bí mật DH của máy chủ nếu máy chủ đó sử dụng lại khóa bí mật hoặc sử dụng một khóa Diffie-Hellman cố định.
Lỗ hổng CVE-2015-3197
Lỗ hổng này được xếp ở mức thấp "low severity", CVE-2015-3197 ảnh hưởng tới các phiên bản 1.0.2 và 1.0.1, lỗ hổng này cho phép tin tặc chuyển các kết nối SSLv3 sang dạng hóa yếu hơn là SSLv2, ngay cả khi kiểu mã hóa SSLv2 bị tắt trên máy chủ.
Lỗ hổng Logjam
Upgrade now!!!
Nếu máy chủ của bạn đang sử dụng OpenSSL phiên bản 1.0.2, vui lòng nâng cấp lên phiên bản 1.0.2f, đối với máy chủ đang dùng OpenSSL v1.0.1 nâng cấp lên v1.0.1r.
Chúng tôi khuyến cáo bạn nên áp dụng các bản vá càng sớm càng tốt. Các phiên bản OpenSSL 0.9.8 và 1.0.0 đã dừng hỗ trợ vào tháng 12. Phiên bản OpenSSL 1.0.1 sẽ dừng hỗ trợ vào cuối năm nay.
Đối với các máy chủ dùng Debian/Ubuntu, phiên bản OpenSSL trên kho phần mềm chưa có gói OpenSSL v1.0.1r. Để tiện hơn cho quá trình nâng cấp, VCCloud đã build sẵn gói cài. Đối với các máy chủ dòng Redhat/CentOS, bạn có thể upgrade từ mã nguồn, theo hướng dẫn dưới đây.
Các bước Upgrade OpenSSl cho Debian/Ubuntu:
openssl version
Download file và cài đặt:
wget http://mirror.vccloud.vn/patch/openssl_1.0.1r-1_amd64.deb
Hoặc OpenSSL v1.0.2f: http://mirror.vccloud.vn/patch/openssl_1.0.2f-1_amd64.deb
Tạo lại symbol link
mkdir -p /usr/lib/ssl/
Kiểm tra version sau khi upgrade
openssl version
Hướng dẫn upgrade OpenSSL từ source
Cài các gói cần thiết để build
apt-get install -y make gcc zlib1g-dev Tải source từ trang chủ và giải nén
cd ~; wget https://www.openssl.org/source/openssl-1.0.1r.tar.gz
Nếu dùng OpenSSL 1.0.2f: https://www.openssl.org/source/openssl-1.0.2f.tar.gz
Cấu hình và cài đặt
cd openssl-1.0.1r
>> Tham khảo thêm: Bảo mật cho SSH
Bizfly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp, được vận hành bởi VCCorp.
Bizfly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.
Độc giả quan tâm đến các giải pháp của Bizfly Cloud có thể truy cập tại đây.
DÙNG THỬ MIỄN PHÍ và NHẬN ƯU ĐÃI 3 THÁNG tại: Manage.bizflycloud
![[DR.VCCloud] Hãy làm theo các bước hướng dẫn này để bảo vệ máy tính của bạn khỏi Ransomware Petya](https://techvccloud.mediacdn.vn/zoom/600_315/2018/1/Untitled-design.png)
![[DR.VCCLOUD] MICROSOFT tung bản vá khắc phục lỗ hổng nghiêm trọng CVE-2017-8543](https://techvccloud.mediacdn.vn/zoom/600_315/2018/1/wn-01.png)
