OpenSSL được cập nhật để giết lỗi chạy mã nguồn

Thứ tư - 24/11/2010 05:59

OpenSSLup-dated to kill code-execution bug

Cóthể bị khai thác từ xa

Remotelyexploitable

By DanGoodin in San FranciscoGetmore f-rom this author

Posted in EnterpriseSecurity, 16thNovember 2010 17:53 GMT

Theo:http://www.theregister.co.uk/2010/11/16/openssl_security_fix/

Bài được đưa lênInternet ngày: 16/11/2010

Máychủ OpenSSL đã được cập nhật cho một sửa lỗi anninh mà có thể bị khai thác từ xa bằng việc cài đặttiềm tàng phần mềm độc hại trong các hệ thống bịtổn thương.

Lỗi điều kiệntrong mã mở rộng của máy chủ OpenSSL TLS có thể bịkhai thác trong một cuộc tấn công làm tràn bộ nhớ,những người duy trì ứng dụng SSL và TLS nguồn mở đãcảnh báo hôm thứ ba. Tất cả các phiên bản của OpenSSLmà hỗ trợ các mở rộng TLS bị tổn thương, bao gồmOpenSSL 0,9,8f tới 0,9,8o, và 1,0,0, và 1,0,0a. Máy chủ HTTPApache và Sunnel không bị ảnh hưởng.

“Bất kỳ OpenSSL nàodựa vào máy chủ TLS bị tổn thương nếu là đa luồngvà sử dụng cơ chế nội bộ của OpenSSL”, các thànhviên của Dự án OpenSSL đã viết. “Các máy chủ mà làđa xử lý và/hoặc nhớ tạm phiên nội bộ vô hiệu hóađược sẽ không bị ảnh hưởng”.

Các thành viên củaĐội Ứng cứu An ninh của Red Hat sử dụng OpenSSL trongRed Hat Enterprise Linux, đã cảnh báo chỗ bị tổn thươngnày có thể bị khai thác từ xa.

“Theo những điềukiện đặc thù cụ thể, có khả năng cho một kẻ tấncông từ xa tắt bật điều kiện này và làm cho một ứngdụng bị hỏng, hoặc có thể chạy mã nguồn tùy ý vớicác quyền của ứng dụng”, họ viết.

TheOpenSSL server has been up-dated to fix a security bug that could beremotely exploited to potentially install malware on vulnerablesystems.

Therace condition flaw in the OpenSSL TLS server extension code could beexploited in a buffer overrun attack, maintainers of the open-sourceSSL and TLS application warnedon Tuesday. All versions of OpenSSL that support TLS extensionsare vulnerable, including OpenSSL 0.9.8f through 0.9.8o, 1.0.0, and1.0.0a. Apache HTTP server and Stunnel are not affected.

“AnyOpenSSL based TLS server is vulnerable if it is multi-threaded anduses OpenSSL's internal caching mechanism,” members of the OpenSSLProject wrote. “Servers that are multi-process and/or disableinternal session caching are NOT affected.”

Membersof the Red Hat Security Response Team, which uses OpenSSL in Red HatEnterprise Linux, warnedthe vulnerability could be remotely exploited.

“Undercertain specific conditions, it may be possible for a remote attackerto trigger this race condition and cause such an application tocrash, or possibly execute arbitrary code with the permissions of theapplication,” they wrote. ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

 Tags: công nghệ tin học, khác, security

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Tiêu điểm
Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập34
  • Máy chủ tìm kiếm3
  • Khách viếng thăm31
  • Hôm nay12,835
  • Tháng hiện tại419,902
  • Tổng lượt truy cập50,604,849
Bo ngoai giao
vinades
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây