OpenSSL Foundation đã phát hành bản vá đã hứa chống lại lỗ hổng nghiêm trọng cao trong OpenSSL phiên bản 1.0.1n và 1.0.2b, giải quyết vấn đề giả mạo chứng chỉ trong quá trình triển khai giao thức tiền điện tử.
Lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công trung gian mạo danh các trang web được bảo vệ bằng mật mã, mạng riêng ảo hoặc máy chủ e-mail và rình mò lưu lượng truy cập Internet được mã hóa.
Lỗ hổng, (CVE-2015-1793), là do một vấn đề nằm trong quá trình xác minh chứng chỉ. Một lỗi trong quá trình triển khai đã bỏ qua một số kiểm tra bảo mật đối với các chứng chỉ mới, không đáng tin cậy.
Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể phá vỡ các cảnh báo chứng chỉ cho phép chúng buộc các ứng dụng coi chứng chỉ không hợp lệ là Tổ chức phát hành chứng chỉ hợp pháp.
“Một lỗi trong việc triển khai logic này có thể có nghĩa là kẻ tấn công có thể bỏ qua một số kiểm tra nhất định đối với các chứng chỉ không đáng tin cậy,” một lời khuyên của OpenSSL giải thích, “chẳng hạn như cờ CA, cho phép họ sử dụng chứng chỉ lá hợp lệ để hoạt động như một CA và “cấp” chứng chỉ không hợp lệ.“
Sự cố này ảnh hưởng đến bất kỳ ứng dụng người dùng cuối nào xác minh chứng chỉ bao gồm Bảo mật tầng vận chuyển (TLS) hoặc Lớp cổng bảo mật (SSL) hoặc ứng dụng khách DTLS và máy chủ SSL/TLS/DTLS sử dụng xác thực ứng dụng khách.
Vấn đề bảo mật này được phát hiện bởi Adam Langley và David Benjamin của Google BoringSSL, phiên bản bộ công cụ OpenSSL của riêng Google. Các nhà phát triển đã báo cáo lỗ hổng cho OpenSSL vào ngày 24 tháng 6 và sau đó gửi bản sửa lỗi để giải quyết vấn đề.
Lỗ hổng bảo mật ảnh hưởng đến các phiên bản OpenSSL 1.0.1n, 1.0.2b, 1.0.2c và 1.0.1o. Vì vậy, chúng tôi khuyên người dùng OpenSSL phiên bản 1.0.2b/1.0.2c nâng cấp hệ thống của họ lên phiên bản 1.0.2d và người dùng OpenSSL phiên bản 1.0.1n/1.0.1o nâng cấp lên phiên bản 1.0.1p.
