WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Sẽ không có thêm bản vá an ninh cho những phiên bản OpenSSL cũ
OpenSSL Software Foundation phát hành các bản vá mới cho thư viện phần mềm mã nguồn mở phổ biến OpenSSL. Đây có thể là lần cập nhật an ninh cuối cùng của hai trong số các phiên bản cũ của nền tảng này.
Việc này có thể gây rắc rối cho các ứng dụng doanh nghiệp đang chạy trên các phiên bản 0.9.8 hoặc 1.0.0 của OpenSSL và các hệ thống cũ hơn, đặc biệt là các thiết bị nhúng, bởi chúng ít khi được cập nhật.
OpenSSL 1.0.0t và 0.9.8zh, được phát hành ngày 3/12, có thể sẽ là những bản cập nhật cuối cùng bởi dịch vụ hỗ trợ cho hai phiên bản này sẽ kết thúc ngày 31/12.
Cả phiên bản 1.0.0t và 0.9.8zh chứa bản vá cho lỗ hổng rò rỉ bộ nhớ ở mức tương đối nghiêm trọng. Lỗ hổng này có thể được kích hoạt bằng các cấu trúc X509_ATTRIBUTE lỗi. Phiên bản 0.9.8zh cũng vá một lỗi tranh đoạt điều khiển (race condition) có mực độ ảnh hưởng thấp khi xử lý các gợi ý đồng nhất của khóa dịch pha PSK đã được xử lý trong các phiên bản cũ hơn, gồm 1.0.0, 1.0.1 và 1.0.2. Phiên bản 1.0.2e và 1.0.1q cũng được phát hành ngày 3/12, xử lý hai lỗ hổng khác cũng ở độ nghiêm trọng ở mức vừa. Trong đó, một lỗ hổng chỉ ảnh hưởng đến phiên bản 1.0.2 và lỗ hổng kia ảnh hưởng cả hai phiên bản.
Dịch vụ hỗ trợ phiên bản 1.0.1 dự kiến kết thúc ngày 31/12/2016 và phiên bản 1.0.2 là ngày 31/12/2019. Các ứng dụng và hệ thống đang sử dụng OpenSSL 0.9.8 hoặc 1.0.0 cần cập nhật càng sớm càng tốt một trong các phiên bản. Tuy nhiên, điều này không dễ dàng gì.
Một nghiên cứu trước đây chỉ ra rằng nhiều công ty đang sử dụng phần mềm tự thiết kế đang chạy các phiên bản OpenSSL cũ. Các công ty này có thể gặp rắc rối trong việc nhận biết khi nào các phiên bản đang được sử dụng trong nội bộ tổ chức của mình sắp hết thời gian hỗ trợ.
Khi lỗ hổng nghiêm trọng Heartbleed được công bố tháng 4/2014, ngay cả những hãng lớn về phần cứng và phần mềm cũng phải mất nhiều tháng để xác định được sản phẩm nào chứa phiên bản có lỗi của OpenSSL. Điều này dẫn tới tình trạng một số hệ thống và ứng dụng chạy trên OpenSSL 0.9.8 và 1.0.0 sẽ không bao giờ được cập nhật và sẽ tồn tại nhiều lỗ hổng nghiêm trọng được tìm thấy sau này.
Nguồn: Computer World
Việc này có thể gây rắc rối cho các ứng dụng doanh nghiệp đang chạy trên các phiên bản 0.9.8 hoặc 1.0.0 của OpenSSL và các hệ thống cũ hơn, đặc biệt là các thiết bị nhúng, bởi chúng ít khi được cập nhật.
OpenSSL 1.0.0t và 0.9.8zh, được phát hành ngày 3/12, có thể sẽ là những bản cập nhật cuối cùng bởi dịch vụ hỗ trợ cho hai phiên bản này sẽ kết thúc ngày 31/12.
Cả phiên bản 1.0.0t và 0.9.8zh chứa bản vá cho lỗ hổng rò rỉ bộ nhớ ở mức tương đối nghiêm trọng. Lỗ hổng này có thể được kích hoạt bằng các cấu trúc X509_ATTRIBUTE lỗi. Phiên bản 0.9.8zh cũng vá một lỗi tranh đoạt điều khiển (race condition) có mực độ ảnh hưởng thấp khi xử lý các gợi ý đồng nhất của khóa dịch pha PSK đã được xử lý trong các phiên bản cũ hơn, gồm 1.0.0, 1.0.1 và 1.0.2. Phiên bản 1.0.2e và 1.0.1q cũng được phát hành ngày 3/12, xử lý hai lỗ hổng khác cũng ở độ nghiêm trọng ở mức vừa. Trong đó, một lỗ hổng chỉ ảnh hưởng đến phiên bản 1.0.2 và lỗ hổng kia ảnh hưởng cả hai phiên bản.
Dịch vụ hỗ trợ phiên bản 1.0.1 dự kiến kết thúc ngày 31/12/2016 và phiên bản 1.0.2 là ngày 31/12/2019. Các ứng dụng và hệ thống đang sử dụng OpenSSL 0.9.8 hoặc 1.0.0 cần cập nhật càng sớm càng tốt một trong các phiên bản. Tuy nhiên, điều này không dễ dàng gì.
Một nghiên cứu trước đây chỉ ra rằng nhiều công ty đang sử dụng phần mềm tự thiết kế đang chạy các phiên bản OpenSSL cũ. Các công ty này có thể gặp rắc rối trong việc nhận biết khi nào các phiên bản đang được sử dụng trong nội bộ tổ chức của mình sắp hết thời gian hỗ trợ.
Khi lỗ hổng nghiêm trọng Heartbleed được công bố tháng 4/2014, ngay cả những hãng lớn về phần cứng và phần mềm cũng phải mất nhiều tháng để xác định được sản phẩm nào chứa phiên bản có lỗi của OpenSSL. Điều này dẫn tới tình trạng một số hệ thống và ứng dụng chạy trên OpenSSL 0.9.8 và 1.0.0 sẽ không bao giờ được cập nhật và sẽ tồn tại nhiều lỗ hổng nghiêm trọng được tìm thấy sau này.
Nguồn: Computer World