-
06/04/2022
-
24
-
41 bài viết
OpenSSL xử lý lỗi làm hỏng bộ nhớ từ xa
Một lỗ hổng có khả năng làm hỏng bộ nhớ từ xa trên một số hệ thống đã xuất hiện trong phiên bản mới nhất của thư viện OpenSSL.
Vấn đề nằm trong phiên bản OpenSSL 3.0.4 (được phát hành vào ngày 21/6), ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng.
Chuyên gia an ninh mạng Guido Vranken đã báo cáo lỗ hổng này vào cuối tháng 5. Hiện tại, OpenSSL chỉ xử lý những thiếu sót trên phiên bản 3.0.4 chứ chưa phát hành bản bản vá mới.
OpenSSL là một thư viện mã hóa dữ liệu phổ biến, cung cấp khả năng triển khai giao thức TLS (Transport Layer Security) dưới dạng mã nguồn mở. Thành phần mở rộng AVX (Advanced Vector Extensions) là dành cho kiến trúc tập lệnh x86 trong các bộ vi xử lý của Intel và AMD.
Tomáš Mráz của OpenSSL cho biết: "Tôi không nghĩ đây là một lỗ hổng an ninh. Đó chỉ là một lỗi nghiêm trọng khiến bản phát hành 3.0.4 không thể sử dụng được trên các máy có hỗ trợ AVX-512".
Trong khi đó, một người dùng có tên “Alex Gaynor” chỉ ra: "Tôi không hiểu bằng cách nào mà đây lại không được coi là một lỗ hổng an ninh. Đó là lỗi tràn bộ đệm có thể được kích hoạt bởi những thứ như chữ ký RSA, điều này có thể dễ dàng xảy ra trong các giao thức yêu cầu kết nối từ xa (ví dụ, giao thức bắt tay trong TLS)".
Xi Ruoyao, một sinh viên Đại học Xidian đưa ra ý kiến: "Tôi nghĩ chúng ta không nên đánh dấu một lỗi là “lỗ hổng” trừ khi có một số bằng chứng cho thấy nó đã bị khai thác (hoặc ít nhất là có thể khai thác). Mặc dù vậy, OpenSSL vẫn cần phải phát hành phiên bản 3.0.5 càng sớm càng tốt nếu không muốn vấn đề này trầm trọng hơn".
Vấn đề nằm trong phiên bản OpenSSL 3.0.4 (được phát hành vào ngày 21/6), ảnh hưởng đến hệ thống x64 với tập lệnh AVX-512. Các phiên bản liên quan như OpenSSL 1.1.1, OpenSSL forks BoringSSL và LibreSSL đều không bị ảnh hưởng.
Chuyên gia an ninh mạng Guido Vranken đã báo cáo lỗ hổng này vào cuối tháng 5. Hiện tại, OpenSSL chỉ xử lý những thiếu sót trên phiên bản 3.0.4 chứ chưa phát hành bản bản vá mới.
OpenSSL là một thư viện mã hóa dữ liệu phổ biến, cung cấp khả năng triển khai giao thức TLS (Transport Layer Security) dưới dạng mã nguồn mở. Thành phần mở rộng AVX (Advanced Vector Extensions) là dành cho kiến trúc tập lệnh x86 trong các bộ vi xử lý của Intel và AMD.
Tomáš Mráz của OpenSSL cho biết: "Tôi không nghĩ đây là một lỗ hổng an ninh. Đó chỉ là một lỗi nghiêm trọng khiến bản phát hành 3.0.4 không thể sử dụng được trên các máy có hỗ trợ AVX-512".
Trong khi đó, một người dùng có tên “Alex Gaynor” chỉ ra: "Tôi không hiểu bằng cách nào mà đây lại không được coi là một lỗ hổng an ninh. Đó là lỗi tràn bộ đệm có thể được kích hoạt bởi những thứ như chữ ký RSA, điều này có thể dễ dàng xảy ra trong các giao thức yêu cầu kết nối từ xa (ví dụ, giao thức bắt tay trong TLS)".
Xi Ruoyao, một sinh viên Đại học Xidian đưa ra ý kiến: "Tôi nghĩ chúng ta không nên đánh dấu một lỗi là “lỗ hổng” trừ khi có một số bằng chứng cho thấy nó đã bị khai thác (hoặc ít nhất là có thể khai thác). Mặc dù vậy, OpenSSL vẫn cần phải phát hành phiên bản 3.0.5 càng sớm càng tốt nếu không muốn vấn đề này trầm trọng hơn".
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: