[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed

Vu The Binh binh at netnam.vn
Thu Apr 10 10:39:37 ICT 2014


Gửi cả nhà thêm một số thông tin:

--
OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl at chromium.org> and Bodo Moeller <bmoeller at acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
-- 

và thời điểm các version được công bố:

--
07-Apr-2014:	   Security Advisory: Heartbeat overflow issue.
07-Apr-2014:	   OpenSSL 1.0.1g is now available, including bug and
security fixes
24-Feb-2014:	   Beta 1 of OpenSSL 1.0.2 is now available, please test it now
06-Jan-2014:	   OpenSSL 1.0.0l is now available, including bug and
security fixes
06-Jan-2014:	   OpenSSL 1.0.1f is now available, including bug and
security fixes
03-Jan-2014:	   UPDATE: site defacement final details.
11-Feb-2013:	   OpenSSL 1.0.1e is now available, including bug fixes
05-Feb-2013:	   Security Advisory: three security fixes
05-Feb-2013:	   OpenSSL 1.0.1d is now available, including bug and
security fixes
05-Feb-2013:	   OpenSSL 1.0.0k is now available, including security fixes
--

Theo nghiên cứu của anh Nghĩa thì việc tìm ra và fix lỗi như OpenSSL thế
này là nhanh hơn (hay chậm hơn) so với các bug khác của phái "nguồn đóng"?

Comment (cá nhân): nhận xét của "một số ý kiến cho rằng" là có tính định
kiến, quy chụp :-). Tuy nhiên, để trả lời ra nhẽ món này thì cần chuyên
gia security + chuyên gia FOSS development :D

http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html

Cheers, Bình.

On 4/10/14 10:19 AM, Nguyen Hong Quang wrote:
> Chào anh em,
> 
> Tôi nhận được đề nghị này từ Bộ 4T. Đây là câu hỏi có liên quan đến PMNM
> và VFOSSA cần có ý kiến. Đề nghị anh em nào có kiến thức sâu về OpenSSL
> lên tiếng. Anh Nghĩa sẽ tập hợp ý kiến của anh em và trả lời cho Bộ 4T.
> 
> Thanks.
> 
> Quang
> 
> 
> -------- Message original --------
> Sujet: 	Lỗi bảo mật OpenSSL HeartBleed
> Date : 	Thu, 10 Apr 2014 10:13:44 +0700
> De : 	Lê Văn Chương <chuonglv at mic.gov.vn>
> Répondre à : 	chuonglv at mic.gov.vn
> Pour : 	nguyen.hong.quang at auf.org, tuanta at iwayvietnam.com,
> letrungnghia.foss at gmail.com
> Copie à : 	dtgiang at mic.gov.vn, nttuyen at mic.gov.vn, ntduong at mic.gov.vn
> 
> 
> 
> Kính gửi các anh trong VFOSSA,
>  
> Hôm qua và nay báo chí đều rầm rộ đăng tin về lỗ hổng Heartbleed của
> OpenSSL (version 1.0.1 - 1.0.1f). Sự cố này không xuất hiện ở các phiên
> bản cũ hơn hoặc mới nhất (version 1.0.1g). Một số ý kiến cho rằng, lỗi
> xuất hiện là do OpenSSL quá tham lam, nhồi nhét thêm quá nhiều chức
> năng, thêm vào đó, bản thân cộng đồng OpenSSL cũng không kiểm soát được
> việc chỉnh sửa mã nguồn dẫn tới có bug như hiện nay. Xin các anh cho một
> số ý kiến cá nhân về lỗi này.
>  
> Kính thư,
> *Le Van Chuong* (/Mr./)
> /Department of Information Technology/
> Ministry of Information and Communications
> *Add*: 18 Nguyen Du St., Hoan Kiem, Hanoi
> *Tel*: +84 4 39437720;   *Fax*: +84 4 39436927
> *Mobile*: +/84 982.123.789/
> *Website*: http://www.mic.gov.vn <http://www.mic.gov.vn/>
>  
> 
> 
> 
> 
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/


More information about the Members mailing list