OpenSSL phát hành bản vá cho hai lỗ hổng nghiêm trọng

08:00 | 07/11/2022 | TIN TỨC SẢN PHẨM

OpenSSL vừa phát hành bản vá cho 2 lỗ hổng nghiêm trọng trong thư viện mã nguồn mở được dùng để mã hóa các kênh giao tiếp và kết nối HTTPS.

OpenSSL phát hành bản vá cho hai lỗ hổng nghiêm trọng

Hai lỗ hổng định danh CVE-2022-3602 có điểm CVSS 9,8 và CVE-2022-3786 có điểm CVSS 7,5 ảnh hưởng đến OpenSSL phiên bản 3.0.0 trở lên. Hai lỗ hổng này đã được xử lý trong phiên bản OpenSSL 3.0.7. Đáng chú ý, mã khai thác cho lỗ hổng CVE-2022-3602 đã được công bố.

CVE-2022-3602 là lỗ hổng tràn bộ đệm ngăn xếp 4 byte tùy ý có thể gây sự cố hoặc dẫn đến thực thi mã từ xa. Còn lỗ hổng CVE-2022-3786 có thể bị kẻ tấn công khai thác thông qua địa chỉ email độc hại để kích hoạt tấn công từ chối dịch vụ.

OpenSSL cho biết: "Chúng tôi đánh giá đây là những lỗ hổng nghiêm trọng và người dùng được khuyến cáo nâng cấp lên phiên bản mới càng sớm càng tốt".

Bên cạnh đó, hãng cũng cung cấp các biện pháp giảm thiểu tạm thời và yêu cầu quản trị viên vận hành máy chủ TLS vô hiệu hóa xác thực TLS client.

Một số chuyên gia bảo mật và nhà cung cấp cho rằng lỗ hổng OpenSSL tương tự với Log4Shell (Apache Log4J), nhưng chỉ có khoảng 7.000 hệ thống được mở ra ngoài Internet đang chạy các phiên bản OpenSSL tồn tại lỗ hổng. Trong khi đó, Shodan thống kê khoảng 16.000 server sử dụng OpenSSL có thể truy cập công khai.

Hãng bảo mật cloud Wiz.io (Mỹ) cũng cho biết chỉ 1,5% trong số tất cả các phiên bản OpenSSL bị ảnh hưởng bởi lỗ hổng này sau khi phân tích việc triển khai trên các môi trường cloud phổ biến.

M.H

‹ › ×

Tin liên quan

Microsoft phát hành bản vá lỗ hổng bảo mật tháng 11

16:00 | 09/11/2022

Mới đây, Microsoft đã phát hành bản vá lỗ hổng bảo mật tháng 11. Trong số 68 lỗ hổng, có 11 lỗ hổng được đánh giá nghiêm trọng cho phép leo thang đặc quyền, giả mạo hoặc thực thi mã từ xa.

OpenSSL khuyến nghị người dùng nâng cấp phiên bản 3.0.5

13:00 | 21/07/2022

Lần đầu ra mắt vào năm 1998, OpenSSL là một thư viện mật mã có cung cấp việc triển khai mã nguồn mở của các giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security), cho phép người dùng tạo khóa cá nhân, tạo yêu cầu ký chứng chỉ (CSR), cài đặt chứng chỉ SSL/TLS. Chúng được sử dụng rộng rãi nhằm phục vụ đa số các website trong các máy chủ web Internet. Là phương thức bảo mật được sử dụng phổ biến nhất, OpenSSL luôn phải đối mặt với những nguy cơ bảo mật.

QNAP cảnh báo lỗi OpenSSL ảnh hưởng đến các thiết bị NAS

16:00 | 08/04/2022

Vào ngày 29/3, QNAP - nhà sản xuất các thiết bị Network-Attached Storage (NAS) có trụ sở tại Đài Loan đã lên tiếng cảnh báo rằng, một số thiết bị NAS của họ bị ảnh hưởng bởi một lỗi OpenSSL nghiêm trọng.

Atlassian vá lỗ hổng nghiêm trọng trong Bitbucket Server và Data Center

16:00 | 30/11/2022

Công ty Atlassian (Vương Quốc Anh) đã phát hành bản vá để khắc phục các lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm Bitbucket Server và Data Center. Đáng lưu ý, hai lỗ hổng CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng nghiêm trọng có điểm CVSS 9/10.

Cập nhật bản vá lỗ hổng bảo mật tháng 12/2022

08:00 | 19/12/2022

Trung tuần tháng 12, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của hãng. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Cập nhật bản vá lỗ hổng bảo mật tháng 11/2022

16:00 | 30/11/2022

Trung tuần tháng 11, Microsoft, SAP và Mozilla đã phát hành bản vá cho các sản phẩm của hãng. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

Google, Facebook, YouTube đều dính OpenSSL Heartbleed

10:26 | 11/04/2014

Nguy cơ tiềm ẩn từ lỗ hổng Heartbleed thực sự nghiêm trọng, đến mức dù chỉ mới được phát hiện chưa được hai ngày nhưng nó đã khiến hàng trăm website và dịch vụ lớn trên toàn thế giới phải hớt hải vá lỗi.

Tin cùng chuyên mục

Facebook gặp sự cố liên quan đến mục Story

10:00 | 22/03/2024

Không lâu sau sự cố sập toàn cầu, tối 20/3, nhiều người dùng Facebook báo cáo rằng họ đã gặp sự cố khi sử dụng nền tảng mạng xã hội này. Cụ thể, mục Story hoàn toàn bị lỗi và chỉ hiển thị khung màu xám và không hiện bất cứ hình ảnh hay video nào.

Hướng dẫn cài đặt phần mềm Phòng, chống xâm hại trẻ em

16:00 | 08/12/2023

Nhằm tăng cường, trực quan hoá các kiến thức, kỹ năng tự bảo vệ, phòng ngừa trước các nguy cơ xâm hại trẻ em trên môi trường mạng, Cục C02, Bộ Công an đã tham gia xây dựng phần mềm “Phòng, chống xâm hại trẻ em”. Ứng dụng có thể cài đặt trên thiết bị thông minh chạy điều hành Androi và IOS, với các bộ câu hỏi liên quan đến lĩnh vực: Xâm hại trẻ em, bạo lực học đường, phòng, chống ma tuý, căn cước công dân, an toàn giao thông…, các hình ảnh hướng dẫn kỹ năng phòng, chống xâm hại trẻ em; đường dây nóng của các đơn vị và những câu chuyện liên quan đến tình huống xâm hại trẻ em.

Thi đấu an ninh mạng Fortinet Security Fabric Range Challenge

16:00 | 16/11/2023

Ngày 16/11/2023, tại Hà Nội, Fortinet đã tổ chức cuộc thi đấu an ninh mạng mang tên “Fortinet Security Fabric Range Challenge” nhằm nâng cao năng lực phòng thủ cho các nhà quản lý công nghệ thông tin và an ninh bảo mật mạng, giúp các chuyên gia bảo mật an ninh mạng của Việt Nam có cơ hội giao lưu, trải nghiệm nhiều tình huống tấn công mạng mô phỏng thú vị và hấp dẫn.

Bốn doanh nghiệp công nghệ Việt bắt tay sản xuất thiết bị an ninh mạng Make in Vietnam

14:00 | 01/11/2023

Các doanh nghiệp công nghệ Việt gồm MK Hi-Tek, SafeGate, Pavana và Vissoft công bố bắt tay hợp tác để phát triển, sản xuất các sản phẩm thiết bị kết nối mạng Make in Vietnam, với mục tiêu làm chủ công nghệ và hiện thực hoá tầm nhìn đưa Việt Nam thành quốc gia tự chủ về an toàn, an ninh mạng để bảo vệ sự thịnh vượng của Việt Nam trên không gian mạng vào 2030.