[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed

Nguyễn Hữu Thành huuthanh.ng at gmail.com
Tue Apr 15 17:53:10 ICT 2014


Trích thông cáo báo chí của CMC Infosec thì lỗi này mới được phát hiện? Hay
là mới được khắc phục rồi mới công khai, kiểu như vá lỗ thủng rồi mới công
bố tầu không chìm nữa sau khi có không biết bao nhiêu hành khách đã tử nạn?

Khoảng đầu tháng 4 vừa qua, nhóm chuyên gia từ Codenomicon và Google đã
phát hiện ra một lỗi bảo mật được đánh giá là nghiêm trọng nhất trong lịch
sử Internet, có thể gây ảnh hưởng lên 2/3 hạ tầng mạng trên toàn thế giới
và khiến cho không chỉ các dịch vụ trực tuyến quốc tế lớn nhất mà cả các
hãng thiết bị mạng tầm cỡ như Cisco, Juniper đều phải “gồng mình” khắc phục.
Lỗi này cho phép tin tặc đọc được một vùng bộ nhớ của máy chủ lên đến 64KB
một cách liên tục, không hạn chế, không để lại dấu vết. Từ đó có thể lấy
được các thông tin quan trong của hệ thống như Private Key, Username,
password... thậm chí, giả làm máy chủ gửi thông tin giả mạo đến người dùng.
Vào 14-04-2014 20:38, "Nghĩa Lê Trung" <letrungnghia.foss at gmail.com> đã
viết:

>
>
>
> 2014-04-14 15:13 GMT+07:00 Nghĩa Lê Trung <letrungnghia.foss at gmail.com>:
>
>>
>>
>>
>> 2014-04-14 15:01 GMT+07:00 Nguyễn, Thế Hùng <thehung at vinades.vn>:
>>
>> Em cũng cho rằng việc này là cần thiết. Các anh cho thêm ý kiến đóng góp
>>> để em tập hợp và làm bản thảo thông cáo báo chí về việc này. Đặc biệt em
>>> muốn có ý kiến của anh Võ Thái Lâm là đơn vị làm về lĩnh vực này.
>>>
>>> Việc trả lời bộ TTTT anh Quang có nhờ anh Nghĩa phụ trách từ đầu, không
>>> biết các anh đã có nội dung trả lời cho bộ TTTT chưa ạ? Nếu anh Nghĩa đã có
>>> nội dung trả lời anh chuyển cho em tập hợp lại nhé.
>>>
>> Tôi đã có quan điểm về việc này rồi. Phần còn lại để cho những người
>> chuyên sâu kỹ thuật.
>>
> Ngày mai sẽ có bài của chuyên gia tư vấn FOSS thế giới về HeartBleed.
> nghialt
>
>> nghialt
>>
>>> Rất mong các anh gửi sớm để em tập hợp trong đêm nay, sau đó em sẽ gửi
>>> lại để mọi người cho ý kiến.
>>>
>>> Nguyễn Thế Hùng
>>> 0904762534 | http://fb.com/hungnuke
>>> Công ty cổ phần phát triển nguồn mở Việt Nam
>>> 04-85872007 | http://vinades.vn
>>> Cộng đồng phần mềm nguồn mở NukeViet
>>> http://nukeviet.vn | http://nukeviet.edu.vn
>>> Vào 14-04-2014 12:51, "Trung Nguyen The" <trung at dtt.vn> đã viết:
>>>
>>> Gửi các anh chị,
>>>> Việc này tôi đã có ý kiến là cần có một thông cáo báo chí chính thức
>>>> của VFOSSA để chúng ta có thể xây dựng lòng tin với cộng đồng, xã hội. Nay
>>>> chủ tịch đã có lời, tôi nghĩ là việc này càng lên làm và ban truyền thông
>>>> nên ưu tiên. Nếu chúng ta không làm gì thì chỉ có hại, nếu có thông cáo báo
>>>> chí thì chỉ có lợi, ít nhất là hình ảnh chúng ta cũng đàng hoàng, có trách
>>>> nhiệm, tất nhiên chúng ta không thể thay đổi thế giới trong 1 ngày được.
>>>>
>>>> Theo tôi, thông cáo báo chí chỉ cần thể hiện những việc sau:
>>>> 1. VFOSSA quan tâm và đã trao đổi về việc này và có một số kết luận tạm
>>>> thời
>>>> 2. VFOSSA nhận được một số câu hỏi thắc mắc và xin trả lời chính thức
>>>> như sau
>>>> 3. VFOSSA sẵn sàng tiếp nhận những yêu cầu và trong khả năng của mình
>>>> sẽ hỗ trợ hết sức các tổ chức, cá nhân về vấn đề này
>>>>
>>>> Đề nghị Hùng - trưởng ban truyền thông nháp một phiên bản và gửi lại để
>>>> chúng ta cùng cho ý kiến để đưa ra cho rộng đường dư luận.
>>>>
>>>>
>>>> Trân trọng
>>>>
>>>> Nguyễn Thế Trung
>>>> Managing Director
>>>>
>>>> DTT Technology Group
>>>> Add: DTT, level 4, building number 63 Lê Văn Lương street.
>>>> Web: www.dtt.vn
>>>>
>>>>
>>>> 2014-04-14 9:24 GMT+07:00 Nguyen Hong Quang <
>>>> nguyen.hong.quang at ifi.edu.vn>:
>>>>
>>>>>  Tôi đề nghị các anh đã tham gia thảo luận vấn đề này trên diễn đàn
>>>>> của chúng ta và ict_vn và có chính kiến hãy cùng nhau thảo luận và đưa ra
>>>>> một bài trên vfossa.vn nêu quan điểm của VFOSSA trong hôm nay thì tốt
>>>>> quá. Thanks.
>>>>>
>>>>> Thân ái,
>>>>> Quang
>>>>>
>>>>> Le 11/04/2014 11:34, Trung Nguyen The a écrit :
>>>>>
>>>>> Các anh bên ban truyền thông cân nhắc viết và công bố một thông cáo
>>>>> báo chí chính thức về việc này. Sẽ giúp minh bạch hóa và nâng cao vai trò
>>>>> của vfossa.
>>>>> Trung
>>>>> Vào 11-04-2014 00:01, "Truong Anh. Tuan" <tuanta at iwayvietnam.com> đã
>>>>> viết:
>>>>>
>>>>>>
>>>>>> ----- Original Message -----
>>>>>> > From: "Thế Hùng Nguyễn" <thehung at vinades.vn>
>>>>>> > To: "VFOSSA Members" <members at lists.vfossa.vn>
>>>>>> > Sent: Friday, April 11, 2014 10:44:28 AM
>>>>>> > Subject: Re: [VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed
>>>>>> >
>>>>>> > Các ngân hàng báo đã fix xong hết rùi.
>>>>>>
>>>>>> Cái này còn phải xét!
>>>>>> Anh nghĩ mấy bố admin NH chỉ làm cho có lấy thành tích thôi.
>>>>>>
>>>>>> Bản chất của lỗi này là bị leak mất private key. Nên 2 năm qua, nếu có
>>>>>> attacker nào đã chén private key rồi thì coi như nó đã nắm khóa trong
>>>>>> tay.
>>>>>> Các bé có nâng cấp bán vá thì cũng chỉ là để không bị mất key nữa,
>>>>>> còn nếu
>>>>>> không thay khóa thì chúng vẫn dùng khóa cũ mở nhà mình bình thường :D
>>>>>> Clear??
>>>>>>
>>>>>> Check thử phát cho vui, thấy ngay ACB Online [1] vẫn dùng key cũ,
>>>>>> issue
>>>>>> ngày 04/08/2013 bởi VeriSign (loại Class 3 EV [2], bảo mật "cực cao"
>>>>>> :D)
>>>>>> Dự là ACB sắp kiện VeriSign được đòi tiền bảo hiểm 1.5tr USD vì có
>>>>>> SSL rồi
>>>>>> mà vẫn bị phá khóa :). Trừ khi VeriSign vớ vẩn thế nào lại đã đi gửi
>>>>>> thông
>>>>>> báo cho từng khách hàng về việc phải re-issue lại key mới (mà việc
>>>>>> này thì
>>>>>> mình không tin là một hãng như VeriSign lại không làm - vì iWay còn
>>>>>> làm :)
>>>>>>
>>>>>> Kind regards,
>>>>>> Tuan
>>>>>>
>>>>>> [1] https://www.acbonline.com.vn/
>>>>>> [2]
>>>>>> http://www.symantec.com/verisign/ssl-certificates/secure-site-pro-ev?fid=ssl-certificates
>>>>>> _______________________________________________
>>>>>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>>>>>> _______________________________________________
>>>>>> Members mailing list: Members at lists.vfossa.vn
>>>>>> http://lists.vfossa.vn/mailman/listinfo/members
>>>>>> VFOSSA website: http://vfossa.vn/
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>>>>> _______________________________________________
>>>>> Members mailing list: Members at lists.vfossa.vnhttp://lists.vfossa.vn/mailman/listinfo/members
>>>>> VFOSSA website: http://vfossa.vn/
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>>>>> _______________________________________________
>>>>> Members mailing list: Members at lists.vfossa.vn
>>>>> http://lists.vfossa.vn/mailman/listinfo/members
>>>>> VFOSSA website: http://vfossa.vn/
>>>>>
>>>>
>>>>
>>> _______________________________________________
>>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>>> _______________________________________________
>>> Members mailing list: Members at lists.vfossa.vn
>>> http://lists.vfossa.vn/mailman/listinfo/members
>>> VFOSSA website: http://vfossa.vn/
>>>
>>
>>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.vfossa.vn/pipermail/members/attachments/20140415/17dc4728/attachment-0001.html 


More information about the Members mailing list