WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
[Update] Lỗ hổng đã được vá trong OpenSSL vẫn ảnh hưởng các website phổ biến
Cập nhật ngày 31/05/2016: Lỗ hổng OpenSSL được vá vào đầu tháng 5 bằng việc phát hành phiên bản 1.0.2h và 1.0.1t vẫn chưa được nhiều trang web có lượng truy cập nhiều nhất thế giới cập nhật, dẫn đến nguy cơ bị tấn công man-in-the-middle (MITM), làm rò rỉ thông tin nhạy cảm.
Tuần trước, hãng an ninh High-Tech Bridge tiến hành quét Top 10.000 website trên Alexa.com xem có tồn tại của lỗ hổng CVE-2016-2107. Lỗ hổng này cho phép kẻ tấn công man-in-the-middle khởi động tấn công Padding Oracle (tấn công hàm tiên tri đệm thông báo) để giải mã kết nối HTTPS nếu kết nối sử dụng thuật toán AES-CBC và máy chủ hỗ trợ AES -NI.
Kết quả tiết lộ rằng các máy chủ web hoặc hoặc email của 1.829 (19.29%) phần trăm) trang web hàng đầu vẫn tồn tại lỗ hổng và có thể bị khai thác. 62% máy chủ (6.258) không có lỗ hổng, và 19% (1.913) có lỗ hổng, nhưng không thể khai thác được.
Theo SecurityWeek
--------------------------------------------------------------
OpenSSL vừa phát hành bản vá cho 6 lỗ hổng bao gồm 2 lỗ hổng có mức nguy hiểm cao có thể cho phép tin tặc thực thi mã độc trên máy chủ web cũng như giải mã kết nối HTTPS.
OpenSSL là một thư viện mã nguồn mở được sử dụng rộng rãi trong các dịch vụ Internet để bảo vệ trang web và kết nối email sử dụng giao thức Secure Sockets Layer (SSL) hoặc Transport Layer Security (TLS).
Một trong hai lỗ hổng nghiêm trọng, CVE-2016-2107, cho phép kẻ tấn công man-in-the-middle khởi động tấn công Padding Oracle (tấn công hàm tiên tri đệm thông báo) để giải mã kết nối HTTPS nếu kết nối sử dụng thuật toán AES-CBC và máy chủ hỗ trợ AES -NI.
Lỗ hổng Padding Oracle làm suy yếu cơ chế bảo vệ mã hóa, cho phép kẻ tấn công liên tục yêu cầu dữ liệu dạng bản rõ của một nội dung được mã hóa.
Lỗ hổng Padding Oracle được Juraj Somorovsky phát hiện khi sử dụng công cụ TLS-Attacker của mình, cho phép các nhà phát triển kiểm tra máy chủ TLS với thông điệp TLS cụ thể.
Lỗ hổng nghiêm trọng thứ hai, CVE-2016-2108, là lỗi bộ nhớ trong OpenSSL ASN.1standard để mã hóa, truyền và giải mã dữ liệu, cho phép kẻ tấn công thực thi mã độc trên máy chủ web.
Lỗ hổng này chỉ ảnh hưởng đến các phiên bản OpenSSL trước tháng 4/2015. Mặc dù lỗi này đã được vá vào tháng 6/2015, ảnh hưởng an ninh của bản cập nhật giờ mới rõ ràng.
Theo OpenSSL, lỗ hổng này có thể bị khai thác bằng cách sử dụng chứng chỉ số độc hại do một CA tin cậy phát hành.
OpenSSL cũng vá bốn lỗ hổng có mức nguy hiểm thấp gồm lỗ hổng tràn bộ đệm, lỗi cạn bộ nhớ và lỗi dẫn đến dữ liệu tùy ý bị trả lại bộ đệm.
Các bản cập nhật an ninh đã được phát hành cho cả hai phiên bản OpenSSL 1.0.1 và 1.0.2. Các quản trị viên được khuyến cáo cập nhật bản vá lỗi càng sớm càng tốt.
Theo The Hacker News
Tuần trước, hãng an ninh High-Tech Bridge tiến hành quét Top 10.000 website trên Alexa.com xem có tồn tại của lỗ hổng CVE-2016-2107. Lỗ hổng này cho phép kẻ tấn công man-in-the-middle khởi động tấn công Padding Oracle (tấn công hàm tiên tri đệm thông báo) để giải mã kết nối HTTPS nếu kết nối sử dụng thuật toán AES-CBC và máy chủ hỗ trợ AES -NI.
Kết quả tiết lộ rằng các máy chủ web hoặc hoặc email của 1.829 (19.29%) phần trăm) trang web hàng đầu vẫn tồn tại lỗ hổng và có thể bị khai thác. 62% máy chủ (6.258) không có lỗ hổng, và 19% (1.913) có lỗ hổng, nhưng không thể khai thác được.
Theo SecurityWeek
OpenSSL vừa phát hành bản vá cho 6 lỗ hổng bao gồm 2 lỗ hổng có mức nguy hiểm cao có thể cho phép tin tặc thực thi mã độc trên máy chủ web cũng như giải mã kết nối HTTPS.
OpenSSL là một thư viện mã nguồn mở được sử dụng rộng rãi trong các dịch vụ Internet để bảo vệ trang web và kết nối email sử dụng giao thức Secure Sockets Layer (SSL) hoặc Transport Layer Security (TLS).
Một trong hai lỗ hổng nghiêm trọng, CVE-2016-2107, cho phép kẻ tấn công man-in-the-middle khởi động tấn công Padding Oracle (tấn công hàm tiên tri đệm thông báo) để giải mã kết nối HTTPS nếu kết nối sử dụng thuật toán AES-CBC và máy chủ hỗ trợ AES -NI.
Lỗ hổng Padding Oracle làm suy yếu cơ chế bảo vệ mã hóa, cho phép kẻ tấn công liên tục yêu cầu dữ liệu dạng bản rõ của một nội dung được mã hóa.
Lỗ hổng Padding Oracle được Juraj Somorovsky phát hiện khi sử dụng công cụ TLS-Attacker của mình, cho phép các nhà phát triển kiểm tra máy chủ TLS với thông điệp TLS cụ thể.
Lỗ hổng nghiêm trọng thứ hai, CVE-2016-2108, là lỗi bộ nhớ trong OpenSSL ASN.1standard để mã hóa, truyền và giải mã dữ liệu, cho phép kẻ tấn công thực thi mã độc trên máy chủ web.
Lỗ hổng này chỉ ảnh hưởng đến các phiên bản OpenSSL trước tháng 4/2015. Mặc dù lỗi này đã được vá vào tháng 6/2015, ảnh hưởng an ninh của bản cập nhật giờ mới rõ ràng.
Theo OpenSSL, lỗ hổng này có thể bị khai thác bằng cách sử dụng chứng chỉ số độc hại do một CA tin cậy phát hành.
OpenSSL cũng vá bốn lỗ hổng có mức nguy hiểm thấp gồm lỗ hổng tràn bộ đệm, lỗi cạn bộ nhớ và lỗi dẫn đến dữ liệu tùy ý bị trả lại bộ đệm.
Các bản cập nhật an ninh đã được phát hành cho cả hai phiên bản OpenSSL 1.0.1 và 1.0.2. Các quản trị viên được khuyến cáo cập nhật bản vá lỗi càng sớm càng tốt.
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: