[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed
Nghĩa Lê Trung
letrungnghia.foss at gmail.com
Thu Apr 10 11:47:12 ICT 2014
2014-04-10 10:39 GMT+07:00 Vu The Binh <binh at netnam.vn>:
> Gửi cả nhà thêm một số thông tin:
>
> --
> OpenSSL Security Advisory [07 Apr 2014]
> ========================================
>
> TLS heartbeat read overrun (CVE-2014-0160)
> ==========================================
>
> A missing bounds check in the handling of the TLS heartbeat extension can
> be
> used to reveal up to 64k of memory to a connected client or server.
>
> Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
> 1.0.1f and 1.0.2-beta1.
>
> Thanks for Neel Mehta of Google Security for discovering this bug and to
> Adam Langley <agl at chromium.org> and Bodo Moeller <bmoeller at acm.org> for
> preparing the fix.
>
> Affected users should upgrade to OpenSSL 1.0.1g. Users unable to
> immediately
> upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
>
> 1.0.2 will be fixed in 1.0.2-beta2.
> --
>
> và thời điểm các version được công bố:
>
> --
> 07-Apr-2014: Security Advisory: Heartbeat overflow issue.
> 07-Apr-2014: OpenSSL 1.0.1g is now available, including bug and
> security fixes
> 24-Feb-2014: Beta 1 of OpenSSL 1.0.2 is now available, please test
> it now
> 06-Jan-2014: OpenSSL 1.0.0l is now available, including bug and
> security fixes
> 06-Jan-2014: OpenSSL 1.0.1f is now available, including bug and
> security fixes
> 03-Jan-2014: UPDATE: site defacement final details.
> 11-Feb-2013: OpenSSL 1.0.1e is now available, including bug fixes
> 05-Feb-2013: Security Advisory: three security fixes
> 05-Feb-2013: OpenSSL 1.0.1d is now available, including bug and
> security fixes
> 05-Feb-2013: OpenSSL 1.0.0k is now available, including security
> fixes
> --
>
> Theo nghiên cứu của anh Nghĩa thì việc tìm ra và fix lỗi như OpenSSL thế
> này là nhanh hơn (hay chậm hơn) so với các bug khác của phái "nguồn đóng"?
>
Trả lời câu hỏi này, nhanh hay chậm, thế giới nguồn mở chỉ ra rằng:
1. Cả nguồn đóng và nguồn mở đều có lỗi.
2. Trong khi với nguồn mở, một khi phát hiện ra lỗi, thì có thể nhanh chóng
được sửa.
3. Với phần mềm đóng, việc có lỗi có khi do chính hãng gây ra hoặc chính
hãng hợp tác với những nơi khác gây ra (như trong trường hợp của Microsoft
với NSA mà chúng ta đã được biết qua các tiết lộ của Snowden). Vì thế đây
là con đường cụt hoàn toàn.
4. Nguyên tắc hiện nay khi đề cập tới an ninh, người ta nói về một hệ thống
đàn hồi hoặc phục hồi được (Resilience) và tính lanh lẹ (Agile), hiểu theo
nghĩa là không một hệ thống nào, không một phần mềm nào là có thể không bị
đánh. Với một hệ thống đàn hồi và lanh lẹ thì có khả năng chống đỡ được,
còn với các hệ thống không có điều đó thì ... chịu.
Kết hợp lại những điều trên, vì thế bây giờ thế giới nói muốn hệ thống có
anh ninh, thì phải đi với nguồn mở. Điều này không đồng nghĩa với việc
nguồn mở sẽ không có lỗi và không bị đánh.
Có những người thích dựa vào những vụ việc cụ thể để làm panic, chẳng có
nghĩa lý gì, vì bản chất không nằm ở đó. Vụ viện đang xảy ra với OpenSSL
cũng vậy.
Xem thêm:
1. https://www.dropbox.com/s/9qewytgdc6d150w/lentz.pdf
2.
http://vnfoss.blogspot.com/2014/03/tai-lieu-dich-sang-tieng-viet-phong-thu.html
PS: Nếu bạn không đồng tình với những nguyên tắc chung ở trên, đừng cãi
nhau cho mất thời gian. Sorry.
nghialt
>
> Comment (cá nhân): nhận xét của "một số ý kiến cho rằng" là có tính định
> kiến, quy chụp :-). Tuy nhiên, để trả lời ra nhẽ món này thì cần chuyên
> gia security + chuyên gia FOSS development :D
>
> http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
>
> Cheers, Bình.
>
> On 4/10/14 10:19 AM, Nguyen Hong Quang wrote:
> > Chào anh em,
> >
> > Tôi nhận được đề nghị này từ Bộ 4T. Đây là câu hỏi có liên quan đến PMNM
> > và VFOSSA cần có ý kiến. Đề nghị anh em nào có kiến thức sâu về OpenSSL
> > lên tiếng. Anh Nghĩa sẽ tập hợp ý kiến của anh em và trả lời cho Bộ 4T.
> >
> > Thanks.
> >
> > Quang
> >
> >
> > -------- Message original --------
> > Sujet: Lỗi bảo mật OpenSSL HeartBleed
> > Date : Thu, 10 Apr 2014 10:13:44 +0700
> > De : Lê Văn Chương <chuonglv at mic.gov.vn>
> > Répondre à : chuonglv at mic.gov.vn
> > Pour : nguyen.hong.quang at auf.org, tuanta at iwayvietnam.com,
> > letrungnghia.foss at gmail.com
> > Copie à : dtgiang at mic.gov.vn, nttuyen at mic.gov.vn, ntduong at mic.gov.vn
> >
> >
> >
> > Kính gửi các anh trong VFOSSA,
> >
> > Hôm qua và nay báo chí đều rầm rộ đăng tin về lỗ hổng Heartbleed của
> > OpenSSL (version 1.0.1 - 1.0.1f). Sự cố này không xuất hiện ở các phiên
> > bản cũ hơn hoặc mới nhất (version 1.0.1g). Một số ý kiến cho rằng, lỗi
> > xuất hiện là do OpenSSL quá tham lam, nhồi nhét thêm quá nhiều chức
> > năng, thêm vào đó, bản thân cộng đồng OpenSSL cũng không kiểm soát được
> > việc chỉnh sửa mã nguồn dẫn tới có bug như hiện nay. Xin các anh cho một
> > số ý kiến cá nhân về lỗi này.
> >
> > Kính thư,
> > *Le Van Chuong* (/Mr./)
> > /Department of Information Technology/
> > Ministry of Information and Communications
> > *Add*: 18 Nguyen Du St., Hoan Kiem, Hanoi
> > *Tel*: +84 4 39437720; *Fax*: +84 4 39436927
> > *Mobile*: +/84 982.123.789/
> > *Website*: http://www.mic.gov.vn <http://www.mic.gov.vn/>
> >
> >
> >
> >
> >
> > _______________________________________________
> > POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> > _______________________________________________
> > Members mailing list: Members at lists.vfossa.vn
> > http://lists.vfossa.vn/mailman/listinfo/members
> > VFOSSA website: http://vfossa.vn/
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.vfossa.vn/pipermail/members/attachments/20140410/90291dcd/attachment.html
More information about the Members
mailing list