[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed
Vu The Binh
binh at netnam.vn
Tue Apr 15 18:03:02 ICT 2014
Hi anh Thành,
Giống như lửa có mặt từ trước khi con người biết ấy :-) Lỗi này tiềm
tàng từ 2012 nhưng mới được một chú engineer của Google.
Mới phát hiện hôm 7/4, và khắc phục ngay trong 8/4 hay 9/4 gì đó. Em đọc
đâu đó là có 17% máy chủ web bị ảnh hưởng (thôi). Chưa tìm lại được link
để gửi cả nhà tham khảo.
Một số thông tin cụ thể hơn về kỹ thuật:
http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html
Bình.
On 4/15/14 5:53 PM, Nguyễn Hữu Thành wrote:
> Trích thông cáo báo chí của CMC Infosec thì lỗi này mới được phát hiện?
> Hay là mới được khắc phục rồi mới công khai, kiểu như vá lỗ thủng rồi
> mới công bố tầu không chìm nữa sau khi có không biết bao nhiêu hành
> khách đã tử nạn?
>
> Khoảng đầu tháng 4 vừa qua, nhóm chuyên gia từ Codenomicon và Google đã
> phát hiện ra một lỗi bảo mật được đánh giá là nghiêm trọng nhất trong
> lịch sử Internet, có thể gây ảnh hưởng lên 2/3 hạ tầng mạng trên toàn
> thế giới và khiến cho không chỉ các dịch vụ trực tuyến quốc tế lớn nhất
> mà cả các hãng thiết bị mạng tầm cỡ như Cisco, Juniper đều phải “gồng
> mình” khắc phục.
> Lỗi này cho phép tin tặc đọc được một vùng bộ nhớ của máy chủ lên đến
> 64KB một cách liên tục, không hạn chế, không để lại dấu vết. Từ đó có
> thể lấy được các thông tin quan trong của hệ thống như Private Key,
> Username, password... thậm chí, giả làm máy chủ gửi thông tin giả mạo
> đến người dùng.
>
> Vào 14-04-2014 20:38, "Nghĩa Lê Trung" <letrungnghia.foss at gmail.com
> <mailto:letrungnghia.foss at gmail.com>> đã viết:
>
>
>
>
> 2014-04-14 15:13 GMT+07:00 Nghĩa Lê Trung
> <letrungnghia.foss at gmail.com <mailto:letrungnghia.foss at gmail.com>>:
>
>
>
>
> 2014-04-14 15:01 GMT+07:00 Nguyễn, Thế Hùng <thehung at vinades.vn
> <mailto:thehung at vinades.vn>>:
>
> Em cũng cho rằng việc này là cần thiết. Các anh cho thêm ý
> kiến đóng góp để em tập hợp và làm bản thảo thông cáo báo
> chí về việc này. Đặc biệt em muốn có ý kiến của anh Võ Thái
> Lâm là đơn vị làm về lĩnh vực này.
>
> Việc trả lời bộ TTTT anh Quang có nhờ anh Nghĩa phụ trách từ
> đầu, không biết các anh đã có nội dung trả lời cho bộ TTTT
> chưa ạ? Nếu anh Nghĩa đã có nội dung trả lời anh chuyển cho
> em tập hợp lại nhé.
>
> Tôi đã có quan điểm về việc này rồi. Phần còn lại để cho những
> người chuyên sâu kỹ thuật.
>
> Ngày mai sẽ có bài của chuyên gia tư vấn FOSS thế giới về HeartBleed.
> nghialt
>
> nghialt
>
> Rất mong các anh gửi sớm để em tập hợp trong đêm nay, sau đó
> em sẽ gửi lại để mọi người cho ý kiến.
>
> Nguyễn Thế Hùng
> 0904762534 | http://fb.com/hungnuke
> Công ty cổ phần phát triển nguồn mở Việt Nam
> 04-85872007 | http://vinades.vn
> Cộng đồng phần mềm nguồn mở NukeViet
> http://nukeviet.vn | http://nukeviet.edu.vn
>
> Vào 14-04-2014 12:51, "Trung Nguyen The" <trung at dtt.vn
> <mailto:trung at dtt.vn>> đã viết:
>
> Gửi các anh chị,
> Việc này tôi đã có ý kiến là cần có một thông cáo báo
> chí chính thức của VFOSSA để chúng ta có thể xây dựng
> lòng tin với cộng đồng, xã hội. Nay chủ tịch đã có lời,
> tôi nghĩ là việc này càng lên làm và ban truyền thông
> nên ưu tiên. Nếu chúng ta không làm gì thì chỉ có hại,
> nếu có thông cáo báo chí thì chỉ có lợi, ít nhất là hình
> ảnh chúng ta cũng đàng hoàng, có trách nhiệm, tất nhiên
> chúng ta không thể thay đổi thế giới trong 1 ngày được.
>
> Theo tôi, thông cáo báo chí chỉ cần thể hiện những việc sau:
> 1. VFOSSA quan tâm và đã trao đổi về việc này và có một
> số kết luận tạm thời
> 2. VFOSSA nhận được một số câu hỏi thắc mắc và xin trả
> lời chính thức như sau
> 3. VFOSSA sẵn sàng tiếp nhận những yêu cầu và trong khả
> năng của mình sẽ hỗ trợ hết sức các tổ chức, cá nhân về
> vấn đề này
>
> Đề nghị Hùng - trưởng ban truyền thông nháp một phiên
> bản và gửi lại để chúng ta cùng cho ý kiến để đưa ra cho
> rộng đường dư luận.
>
>
> Trân trọng
>
> Nguyễn Thế Trung
> Managing Director
>
> DTT Technology Group
> Add: DTT, level 4, building number 63 Lê Văn Lương street.
> Web: www.dtt.vn <http://www.dtt.vn>
>
>
> 2014-04-14 9:24 GMT+07:00 Nguyen Hong Quang
> <nguyen.hong.quang at ifi.edu.vn
> <mailto:nguyen.hong.quang at ifi.edu.vn>>:
>
> Tôi đề nghị các anh đã tham gia thảo luận vấn đề này
> trên diễn đàn của chúng ta và ict_vn và có chính
> kiến hãy cùng nhau thảo luận và đưa ra một bài trên
> vfossa.vn <http://vfossa.vn> nêu quan điểm của
> VFOSSA trong hôm nay thì tốt quá. Thanks.
>
> Thân ái,
> Quang
>
> Le 11/04/2014 11:34, Trung Nguyen The a écrit :
>>
>> Các anh bên ban truyền thông cân nhắc viết và công
>> bố một thông cáo báo chí chính thức về việc này.
>> Sẽ giúp minh bạch hóa và nâng cao vai trò của vfossa.
>> Trung
>>
>> Vào 11-04-2014 00:01, "Truong Anh. Tuan"
>> <tuanta at iwayvietnam.com
>> <mailto:tuanta at iwayvietnam.com>> đã viết:
>>
>>
>> ----- Original Message -----
>> > From: "Thế Hùng Nguyễn" <thehung at vinades.vn
>> <mailto:thehung at vinades.vn>>
>> > To: "VFOSSA Members"
>> <members at lists.vfossa.vn
>> <mailto:members at lists.vfossa.vn>>
>> > Sent: Friday, April 11, 2014 10:44:28 AM
>> > Subject: Re: [VFOSSA] Fwd: Lỗi bảo mật
>> OpenSSL HeartBleed
>> >
>> > Các ngân hàng báo đã fix xong hết rùi.
>>
>> Cái này còn phải xét!
>> Anh nghĩ mấy bố admin NH chỉ làm cho có lấy
>> thành tích thôi.
>>
>> Bản chất của lỗi này là bị leak mất private
>> key. Nên 2 năm qua, nếu có
>> attacker nào đã chén private key rồi thì coi
>> như nó đã nắm khóa trong tay.
>> Các bé có nâng cấp bán vá thì cũng chỉ là để
>> không bị mất key nữa, còn nếu
>> không thay khóa thì chúng vẫn dùng khóa cũ mở
>> nhà mình bình thường :D
>> Clear??
>>
>> Check thử phát cho vui, thấy ngay ACB Online
>> [1] vẫn dùng key cũ, issue
>> ngày 04/08/2013 bởi VeriSign (loại Class 3 EV
>> [2], bảo mật "cực cao" :D)
>> Dự là ACB sắp kiện VeriSign được đòi tiền bảo
>> hiểm 1.5tr USD vì có SSL rồi
>> mà vẫn bị phá khóa :). Trừ khi VeriSign vớ vẩn
>> thế nào lại đã đi gửi thông
>> báo cho từng khách hàng về việc phải re-issue
>> lại key mới (mà việc này thì
>> mình không tin là một hãng như VeriSign lại
>> không làm - vì iWay còn làm :)
>>
>> Kind regards,
>> Tuan
>>
>> [1] https://www.acbonline.com.vn/
>> [2]
>> http://www.symantec.com/verisign/ssl-certificates/secure-site-pro-ev?fid=ssl-certificates
>> _______________________________________________
>> POST RULES:
>> http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn
>> <mailto:Members at lists.vfossa.vn>
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>>
>>
>>
>> _______________________________________________
>> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
>> _______________________________________________
>> Members mailing list: Members at lists.vfossa.vn <mailto:Members at lists.vfossa.vn>
>> http://lists.vfossa.vn/mailman/listinfo/members
>> VFOSSA website: http://vfossa.vn/
>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> <mailto:Members at lists.vfossa.vn>
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> <mailto:Members at lists.vfossa.vn>
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
>
>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> <mailto:Members at lists.vfossa.vn>
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
>
>
> _______________________________________________
> POST RULES: http://wiki.vfossa.vn/guidelines:mailinglist
> _______________________________________________
> Members mailing list: Members at lists.vfossa.vn
> http://lists.vfossa.vn/mailman/listinfo/members
> VFOSSA website: http://vfossa.vn/
>
--
Vu The Binh (Mr.) | CEO
NETNAM CORPORATION
18 Hoang Quoc Viet, Cau Giay, Hanoi, Vietnam
(T)+84-4-37 564 907, (F)+84-4-37 561 888, (M)+84-(0)-9 0343 4477
(E) binh.vt at netnam.vn ; binh at netnam.vn (W) www.netnam.vn
--
NetNam - one of the best ISPs and Solution Providers in Vietnam,
specialized in Corporate networks, Managed ICT services & security
solutions.
--
Your Net, We Care!
<http://vn.linkedin.com/in/vuthebinh><http://vn.linkedin.com/in/vuthebinh>
<http://netnamonline.com/marketing/index.html>
More information about the Members
mailing list