Khoảng đầu tháng 04 vừa qua, nhóm chuyên gia từ Codenomicon và Google đã phát hiện ra một lỗi bảo mật được đánh giá là rất nghiêm trọng trong thư viện mã nguồn mở OpenSSL, thư viện quan trọng của giao thức SSL/TLS, đóng vai trò bảo vệ các thông tin được truyền qua mạng internet.
Lỗi này cho phép tin tặc đọc được một vùng bộ nhớ của máy chủ lên đến 64KB một cách liên tục, không hạn chế, không qua bất kỳ giao thức nào và không để lại dấu vết. Qua đó, tin tặc có thể lấy được các thông tin quan trọng của hệ thống như PRIVATE KEY, Username, Password… thậm chí, giả làm máy chủ gửi đi các thông tin giả mạo đến người dùng.
Các phiên bản SSL có lỗi:
1. Sử dụng OpenSSL phiên bản 1.0.1 -> 1.0.1f và 1.0.2beta
2. Sử dụng Apache/Tomcat (IIS không bị ảnh hưởng vì ko sử dụng thư viện OpenSSL)
Ngay khi thông tin này được công bố, CMC INFOSEC đã thực hiện các kiểm tra và phân tích sơ bộ nhằm xác định rõ số lượng và mức độ ảnh hưởng của Heartbleed lên hệ thống website của các cơ quan nhà nước, ngân hàng và các cổng thanh toán trực tuyến tại Việt Nam. Tính đến thời điểm hiện tại, phần lớn các hệ thống đều đã được rà soát và vá lỗi nếu có .
CMC InfoSec đang cung cấp dịch vụ kiểm tra lỗi Heartbleed MIỄN PHÍ cho các khách hàng là các cơ quan nhà nước, tổ chức, doanh nghiệp nhằm xác định rõ lỗi có ảnh hưởng đến hệ thống không và cách thức giải quyết lỗi dứt điểm.
Thêm bình luận