[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed

[Ta Quang Thai]

Như vậy có thể thông báo lên FB như sau:

Lỗi OpenSSL được phát hiện ra từ 3/2012, nhưng chưa được phổ biến rộng,
cuối năm 2013 mới được report lên thành CVE-2014-0160 và sau đó vừa được
fixed xong ngày 7/4. Đề nghị mọi người chuyển sang nguồn mở!

???



2014-04-10 11:47 GMT+07:00 Nghĩa Lê Trung <letrungnghia.foss at gmail.com>:

>
>
>
> 2014-04-10 10:39 GMT+07:00 Vu The Binh <binh at netnam.vn>:
>
> Gửi cả nhà thêm một số thông tin:
>>
>> --
>> OpenSSL Security Advisory [07 Apr 2014]
>> ========================================
>>
>> TLS heartbeat read overrun (CVE-2014-0160)
>> ==========================================
>>
>> A missing bounds check in the handling of the TLS heartbeat extension can
>> be
>> used to reveal up to 64k of memory to a connected client or server.
>>
>> Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
>> 1.0.1f and 1.0.2-beta1.
>>
>> Thanks for Neel Mehta of Google Security for discovering this bug and to
>> Adam Langley <agl at chromium.org> and Bodo Moeller <bmoeller at acm.org> for
>> preparing the fix.
>>
>> Affected users should upgrade to OpenSSL 1.0.1g. Users unable to
>> immediately
>> upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.
>>
>> 1.0.2 will be fixed in 1.0.2-beta2.
>> --
>>
>> và thời điểm các version được công bố:
>>
>> --
>> 07-Apr-2014:       Security Advisory: Heartbeat overflow issue.
>> 07-Apr-2014:       OpenSSL 1.0.1g is now available, including bug and
>> security fixes
>> 24-Feb-2014:       Beta 1 of OpenSSL 1.0.2 is now available, please test
>> it now
>> 06-Jan-2014:       OpenSSL 1.0.0l is now available, including bug and
>> security fixes
>> 06-Jan-2014:       OpenSSL 1.0.1f is now available, including bug and
>> security fixes
>> 03-Jan-2014:       UPDATE: site defacement final details.
>> 11-Feb-2013:       OpenSSL 1.0.1e is now available, including bug fixes
>> 05-Feb-2013:       Security Advisory: three security fixes
>> 05-Feb-2013:       OpenSSL 1.0.1d is now available, including bug and
>> security fixes
>> 05-Feb-2013:       OpenSSL 1.0.0k is now available, including security
>> fixes
>> --
>>
>> Theo nghiên cứu của anh Nghĩa thì việc tìm ra và fix lỗi như OpenSSL thế
>> này là nhanh hơn (hay chậm hơn) so với các bug khác của phái "nguồn đóng"?
>>
> Trả lời câu hỏi này, nhanh hay chậm, thế giới nguồn mở chỉ ra rằng:
> 1. Cả nguồn đóng và nguồn mở đều có lỗi.
> 2. Trong khi với nguồn mở, một khi phát hiện ra lỗi, thì có thể nhanh
> chóng được sửa.
> 3. Với phần mềm đóng, việc có lỗi có khi do chính hãng gây ra hoặc chính
> hãng hợp tác với những nơi khác gây ra (như trong trường hợp của Microsoft
> với NSA mà chúng ta đã được biết qua các tiết lộ của Snowden). Vì thế đây
> là con đường cụt hoàn toàn.
> 4. Nguyên tắc hiện nay khi đề cập tới an ninh, người ta nói về một hệ
> thống đàn hồi hoặc phục hồi được (Resilience) và tính lanh lẹ (Agile), hiểu
> theo nghĩa là không một hệ thống nào, không một phần mềm nào là có thể
> không bị đánh. Với một hệ thống đàn hồi và lanh lẹ thì có khả năng chống đỡ
> được, còn với các hệ thống không có điều đó thì ... chịu.
> Kết hợp lại những điều trên, vì thế bây giờ thế giới nói muốn hệ thống có
> anh ninh, thì phải đi với nguồn mở. Điều này không đồng nghĩa với việc
> nguồn mở sẽ không có lỗi và không bị đánh.
> Có những người thích dựa vào những vụ việc cụ thể để làm panic, chẳng có
> nghĩa lý gì, vì bản chất không nằm ở đó. Vụ viện đang xảy ra với OpenSSL
> cũng vậy.
> Xem thêm:
> 1. https://www.dropbox.com/s/9qewytgdc6d150w/lentz.pdf
> 2.
> http://vnfoss.blogspot.com/2014/03/tai-lieu-dich-sang-tieng-viet-phong-thu.html
> PS: Nếu bạn không đồng tình với những nguyên tắc chung ở trên, đừng cãi
> nhau cho mất thời gian. Sorry.
> nghialt
>
>>
>> Comment (cá nhân): nhận xét của "một số ý kiến cho rằng" là có tính định
>> kiến, quy chụp :-). Tuy nhiên, để trả lời ra nhẽ món này thì cần chuyên
>> gia security + chuyên gia FOSS development :D
>>
>> http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
>>
>> Cheers, Bình.
>>
>> On 4/10/14 10:19 AM, Nguyen Hong Quang wrote:
>> > Chào anh em,
>> >
>> > Tôi nhận được đề nghị này từ Bộ 4T. Đây là câu hỏi có liên quan đến PMNM
>> > và VFOSSA cần có ý kiến. Đề nghị anh em nào có kiến thức sâu về OpenSSL
>> > lên tiếng. Anh Nghĩa sẽ tập hợp ý kiến của anh em và trả lời cho Bộ 4T.
>> >
>> > Thanks.
>> >
>> > Quang
>> >
>> >
>> > -------- Message original --------
>> > Sujet:        Lỗi bảo mật OpenSSL HeartBleed
>> > Date :        Thu, 10 Apr 2014 10:13:44 +0700
>> > De :  Lê Văn Chương <chuonglv at mic.gov.vn>
>> > Répondre à :  chuonglv at mic.gov.vn
>> > Pour :        nguyen.hong.quang at auf.org, tuanta at iwayvietnam.com,
>> > letrungnghia.foss at gmail.com
>> > Copie à :     dtgiang at mic.gov.vn, nttuyen at mic.gov.vn,
>> ntduong at mic.gov.vn
>> >
>> >
>> >
>> > Kính gửi các anh trong VFOSSA,
>> >
>> > Hôm qua và nay báo chí đều rầm rộ đăng tin về lỗ hổng Heartbleed của
>> > OpenSSL (version 1.0.1 - 1.0.1f). Sự cố này không xuất hiện ở các phiên
>> > bản cũ hơn hoặc mới nhất (version 1.0.1g). Một số ý kiến cho rằng, lỗi
>> > xuất hiện là do OpenSSL quá tham lam, nhồi nhét thêm quá nhiều chức
>> > năng, thêm vào đó, bản thân cộng đồng OpenSSL cũng không kiểm soát được
>> > việc chỉnh sửa mã nguồn dẫn tới có bug như hiện nay. Xin các anh cho một
>> > số ý kiến cá nhân về lỗi này.
>> >
>> > Kính thư,
>> > *Le Van Chuong* (/Mr./)
>> > /Department of Information Technology/
>> > Ministry of Information and Communications
>> > *Add*: 18 Nguyen Du St., Hoan Kiem, Hanoi
>> > *Tel*: +84 4 39437720;   *Fax*: +84 4 39436927
>> > *Mobile*: +/84 982.123.789/
>> > *Website*: http://www.mic.gov.vn <http://www.mic.gov.vn/>
>> >
>> >
>> >
>> >
>> >
>> > _______________________________________________
>> > POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> > _______________________________________________
>> > Members mailing list: Members at lists.vfossa.vn
>> > http://lists.vfossa.vn/mailman/listinfo/members
>> > VFOSSA website: http://vfossa.vn/
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>



-- 
Thai, Ta Quang
CEO - EcoIT Corp.
Find my biz. online: www.ecoit.asia - my.metadata.vn -
www.facebook.com/quantritailieu
My personal online: Facebook <http://www.facebook.com/thai.taquang.3>,
Twitter <https://twitter.com/thaitq>, Tumblr <http://thaitq.tumblr.com/>,
Pinterest <http://www.pinterest.com/thaitaquang3>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.vfossa.vn/pipermail/members/attachments/20140410/79ad8cbc/attachment-0001.html