10 Jul
2015

Phát hiện lỗ hổng bảo mật mới của thư viện OpenSSL

Cập nhật lúc 10-07-2015 10:20 AM

Vào ngày 09 tháng 07 năm 2015, OpenSSL đã công bố lỗ hổng bảo mật mới nhất liên quan đến thư viện OpenSSL. Lỗ hổng bảo mật này (OpenSSL Alternative Chains Certificate Forgery Vulnerability) được thông báo cho OpenSSL bởi Adam Langley/David Benjamin (Google/BoringSSL) vào ngày 24/06/2015. Bản nâng cấp đã được phát hành ngay sau đó.

Lỗ hổng này cho phép kẻ tấn công có thể giúp các chứng thư số trung gian không đáng tin cậy vượt qua các quá trình kiểm tra an ninh, từ đó tận dụng các chứng thư thư trung gian này để cấp phát các chứng thư số giả mạo.

Các phiên bản OpenSSL bị ảnh hưởng bao gồm:

  • 1.0.2c
  • 1.0.2b
  • 1.0.1n
  • 1.0.1o 
Người dùng các phiên bản OpenSSL 1.0.1n và 1.0.1o nên nâng cấp ngay lên phiên bản 1.0.1p.
Người dùng các phiên bản OpenSSLl 1.0.2b và 1.0.2c nên nâng cấp ngay lên phiên bản 1.0.2d.
 
Địa chỉ tải OpenSSL: https://www.openssl.org/source/ 
 
Nguồn: https://www.openssl.org/news/secadv_20150709.txt