2014
Thông tin mới về lỗ hổng bảo mật Heartbleed vulnerability liên quan đến thư viện OpenSSL
Cập nhật lúc 10-04-2014 09:55 AM
Vài ngày gần đây, trên nhiều phương tiện thông tin đại chúng có lan truyền thông tin về lỗ hổng bảo mật "Trái tim rỉ máu" (tên tiếng Anh "Heartbleed vulnerability") từ thư viện OpenSSL. Trước hết, chúng tôi xin khẳng định đây là một thông tin có thật, và lỗ hổng này rất nghiêm trọng nếu máy chủ của Quý khách hàng bị ảnh hưởng.
Tuy nhiên, quý khách hàng không nên quá hoang mang về hệ thống máy chủ của mình, bởi vì thật sự không phải hệ thống máy chủ nào cũng bị ảnh hưởng. Chúng tôi có thể tóm tắt lại thông tin trong một số lưu ý sau đây:
- Chỉ có các máy chủ web sử dụng OpenSSL (Apache, Tomcat,...) mới có khả năng bị ảnh hưởng bởi lỗ hổng này. Microsoft IIS không sử dụng OpenSSL nên sẽ không bị ảnh hưởng.
- Các thiết bị phần cứng Firewall, Load Balancing, Access Gateway,... đa số dùng OpenSSL nên khả năng ảnh hưởng rất cao.
- Chỉ có các phiên bản OpenSSL từ 1.0.1 đến 1.0.1f và 1.0.2beta1 là bị ảnh hưởng. Các phiên bản openSSL 0.9.x hoặc 1.0.1g không bị ảnh hưởng
- Hacker có thể dựa vào lỗ hổng này để đánh cắp Private Key của máy chủ, từ đó có thể giải mã các gói tin được mã hóa bằng chứng chỉ SSL Certificate của máy chủ (username, password, số thẻ tín dụng,...)
- Quý khách muốn kiểm tra máy chủ mình có bị ảnh hưởng không? Hãy truy cập http://filippo.io/Heartbleed hoặc https://www.ssllabs.com/ssltest/ và nhập vào địa chỉ website để test (ví dụ ebanking.bank.com.vn). Cẩn thận hơn, từ dấu nhắc Shell của server Linux/Unix, gõ lệnh: openssl version để kiểm tra phiên bản của OpenSSL.
- Quý khách muốn fix lỗi nếu máy chủ của mình bị ảnh hưởng? Chỉ cần cập nhật OpenSSL lên phiên bản 1.0.1g
Một lần nữa, chúng tôi xin khuyến cáo đây thực sự là một lỗi rất nghiêm trọng. Và trong trường hợp Quý khách hàng phát hiện máy chủ của mình đã bị ảnh hưởng, chúng tôi đề nghị Quý khách hàng thực hiện quy trình sau đây sớm nhất có thể:
1. Ngay lập tức nâng cấp phiên bản OpenSSL lên 1.0.1g. Nếu Quý khách đang dùng thiết bị phần cứng, xin vui lòng liên hệ nhà cung cấp thiết bị để được hỗ trợ nâng cấp.
2. Sau khi kiểm tra lại và thấy máy chủ không còn bị ảnh hưởng, Quý khách vui lòng liên hệ với chúng tôi (đường dây nóng 0903.935506) để yêu cầu Cấp lại chứng chỉ số mới (Reissue, quy trình này không mất chi phí). Bởi vì rất có thể Private Key của máy chủ đã bị hacker đánh cắp trong thời gian máy chủ bị ảnh hưởng bởi lỗ hổng Heartbleed.
Xin chân thành cảm ơn Quý khách hàng đã sử dụng dịch vụ của chúng tôi.
Các bài cùng chuyên mục
- Phát hiện lỗ hổng bảo mật nghiêm trọng liên quan đến thư viện OpenSSL (10-04-2014 08:51 AM)
- Microsoft đưa ra báo cáo an ninh mạng (15-10-2011 10:54 AM)
- Sử dụng kết nối mã hóa HTTPS khi duyệt web (15-10-2011 10:49 AM)
- Virus lợi dụng cái chết của Steve Jobs xuất hiện (12-10-2011 10:23 AM)