Lỗ hổng mới trong OpenSSL

Một nhóm nghiên cứu Linux tại Anh vừa phát hiện 3 khiếm khuyết trong công cụ thực hiện giao thức Secure Sockets Layer và Transport Layer Security (TLS). Hai trong số này có thể cho phép tấn công từ chối dịch vụ và một tạo điều kiện cho tin tặc xâm nhập hệ thống, phát tán virus.

Mark Cox, một thành viên trong nhóm, cho biết, tất cả các phiên bản OpenSSL trong đó có 0.9.6j và 0.9.7b đều có khả năng bị khai thác khiếm khuyết này. Cho đến nay, hầu hết các nhà cung cấp Linux như Red Hat, SuSE và cả Cisco (hãng này sử dụng phần mềm mã mở trong khá nhiều sản phẩm của mình) đều đã cung cấp bản vá những lỗi trên.

SSL là một giao thức do Netscape phát triển để truyền văn bản qua Internet, sử dụng một “chìa khoá” riêng để mã hóa dữ liệu qua con đường này còn TLS - một phần mở rộng của SSL - có chức năng đảm bảo tính bí mật và sự thống nhất thông tin giữa các ứng dụng máy chủ và máy khách liên lạc qua mạng thông tin toàn cầu.

Theo Mark Cox, hiện chưa xác định có vụ tấn công nào qua lỗ hổng này. Mới tháng trước, dự án OpenSSH phải vá lỗi phần mềm của họ hai lần và năm ngoái, sâu Slapper đã tấn công nhiều máy tính Linux chưa được nâng cấp khắc phục một khiếm khuyết tương tự.

Phan Khương (theo CNet, F2 Network)