WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
[Cập nhật] OpenSSL vá lỗ hổng Logjam
[Cập nhật ngày 12/6]: Người dùng sử dụng phần mềm mã hóa và xác thực mã nguồn mở OpenSSL được khuyến cáo cập nhật lên các phiên bản mới để tránh nguy cơ bị ảnh hưởng bởi lỗ hổng có thể khai thác thực hiện tấn công từ chối dịch vụ hoặc man in the middle.
Cụ thể người dùng các phiên bản được khuyến cáo như sau:
· Người dùng phiên bản 1.0.2 nên cập nhật lên bản 1.0.2b
· Người dùng phiên bản 1.0.1 nên cập nhật lên bản 1.0.1n
· Người dùng phiên bản 1.0.0 nên cập nhật lên bản 1.0.0s
· Người dùng phiên bản 0.9.8 nên cập nhật lên bản 0.9.8zg
Người dùng các bản 0.9.8 và 1.0.0 cũng được khuyến cáo nên cập nhật lên các bản mới, bởi những phiên bản này sẽ không còn được hỗ trợ trong tháng 12/2015.
Thứ Ba (14/10), các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet.
Ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav nhận định: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.”
Tuy nhiên, để đảm bảo an toàn các quản trị hệ thống nên tắt SSL 3.0. Hướng dẫn chi tiết như sau:
-Kiểm tra web server có hỗ trợ SSL 3.0 hay không bạn có thể dùng openssl trên linux với câu lệnh sau:
Bạn nên thực hiện tắt giao thức này theo hướng dẫn cho hệ điều hành tương ứng bên dưới:
Đối với hệ điều hành Windows:
Bước 1: Bạn tìm key trong registry:
Lưu ý: nếu không tồn tại key SSL 3.0Server bạn hãy tạo thêm key này
Đối với hệ điều hành linux:
Bước 1: tìm vị trí của file ssl.conf :
Cụ thể người dùng các phiên bản được khuyến cáo như sau:
· Người dùng phiên bản 1.0.2 nên cập nhật lên bản 1.0.2b
· Người dùng phiên bản 1.0.1 nên cập nhật lên bản 1.0.1n
· Người dùng phiên bản 1.0.0 nên cập nhật lên bản 1.0.0s
· Người dùng phiên bản 0.9.8 nên cập nhật lên bản 0.9.8zg
Người dùng các bản 0.9.8 và 1.0.0 cũng được khuyến cáo nên cập nhật lên các bản mới, bởi những phiên bản này sẽ không còn được hỗ trợ trong tháng 12/2015.
Ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav nhận định: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.”
Tuy nhiên, để đảm bảo an toàn các quản trị hệ thống nên tắt SSL 3.0. Hướng dẫn chi tiết như sau:
-Kiểm tra web server có hỗ trợ SSL 3.0 hay không bạn có thể dùng openssl trên linux với câu lệnh sau:
kết quả câu lệnh trả về như sau có nghĩa server của bạn đã được tắt SSL3.0 :
Còn nếu kết quả như sau :
Bạn nên thực hiện tắt giao thức này theo hướng dẫn cho hệ điều hành tương ứng bên dưới:
Đối với hệ điều hành Windows:
Bước 1: Bạn tìm key trong registry:
Bước 2 : Tao mới một value(nếu chưa có) là Enabled kiểu DWORD 32bit và set giá trị là 0x00000000
Lưu ý: nếu không tồn tại key SSL 3.0Server bạn hãy tạo thêm key này
Đối với hệ điều hành linux:
Bước 1: tìm vị trí của file ssl.conf :
Bước 2: sửa file ssl.conf :
Bước 3: tìm tới dòng SSLProtocol và sửa thành
Chỉnh sửa lần cuối bởi người điều hành: