Hai lỗ hổng định danh CVE-2022-3602 có điểm CVSS 9,8 và CVE-2022-3786 có điểm CVSS 7,5 ảnh hưởng đến OpenSSL phiên bản 3.0.0 trở lên. Hai lỗ hổng này đã được xử lý trong phiên bản OpenSSL 3.0.7. Đáng chú ý, mã khai thác cho lỗ hổng CVE-2022-3602 đã được công bố.
CVE-2022-3602 là lỗ hổng tràn bộ đệm ngăn xếp 4 byte tùy ý có thể gây sự cố hoặc dẫn đến thực thi mã từ xa. Còn lỗ hổng CVE-2022-3786 có thể bị kẻ tấn công khai thác thông qua địa chỉ email độc hại để kích hoạt tấn công từ chối dịch vụ.
OpenSSL cho biết: "Chúng tôi đánh giá đây là những lỗ hổng nghiêm trọng và người dùng được khuyến cáo nâng cấp lên phiên bản mới càng sớm càng tốt".
Bên cạnh đó, hãng cũng cung cấp các biện pháp giảm thiểu tạm thời và yêu cầu quản trị viên vận hành máy chủ TLS vô hiệu hóa xác thực TLS client.
Một số chuyên gia bảo mật và nhà cung cấp cho rằng lỗ hổng OpenSSL tương tự với Log4Shell (Apache Log4J), nhưng chỉ có khoảng 7.000 hệ thống được mở ra ngoài Internet đang chạy các phiên bản OpenSSL tồn tại lỗ hổng. Trong khi đó, Shodan thống kê khoảng 16.000 server sử dụng OpenSSL có thể truy cập công khai.
Hãng bảo mật cloud Wiz.io (Mỹ) cũng cho biết chỉ 1,5% trong số tất cả các phiên bản OpenSSL bị ảnh hưởng bởi lỗ hổng này sau khi phân tích việc triển khai trên các môi trường cloud phổ biến.
M.H
16:00 | 09/11/2022
13:00 | 21/07/2022
16:00 | 08/04/2022
16:00 | 30/11/2022
08:00 | 19/12/2022
16:00 | 30/11/2022
10:26 | 11/04/2014
11:00 | 26/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
07:00 | 29/03/2024
Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
16:00 | 13/03/2024
Ngày 12/3, gã khổng lồ công nghệ Microsoft phát hành bản vá bảo mật Patch Tuesday tháng 3 để giải quyết 60 lỗ hổng. Đáng lưu ý, trong đó có 18 lỗ hổng thực thi mã từ xa (RCE).
13:00 | 26/02/2024
Mới đây, Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) của tháng 2/2024 để giải quyết 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024