<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">2014-04-10 10:39 GMT+07:00 Vu The Binh <span dir="ltr">&lt;<a href="mailto:binh@netnam.vn" target="_blank">binh@netnam.vn</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Gửi cả nhà thêm một số thông tin:<br>
<br>
--<br>
OpenSSL Security Advisory [07 Apr 2014]<br>
========================================<br>
<br>
TLS heartbeat read overrun (CVE-2014-0160)<br>
==========================================<br>
<br>
A missing bounds check in the handling of the TLS heartbeat extension can be<br>
used to reveal up to 64k of memory to a connected client or server.<br>
<br>
Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including<br>
1.0.1f and 1.0.2-beta1.<br>
<br>
Thanks for Neel Mehta of Google Security for discovering this bug and to<br>
Adam Langley &lt;<a href="mailto:agl@chromium.org">agl@chromium.org</a>&gt; and Bodo Moeller &lt;<a href="mailto:bmoeller@acm.org">bmoeller@acm.org</a>&gt; for<br>
preparing the fix.<br>
<br>
Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately<br>
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.<br>
<br>
1.0.2 will be fixed in 1.0.2-beta2.<br>
--<br>
<br>
và thời điểm các version được công bố:<br>
<br>
--<br>
07-Apr-2014:       Security Advisory: Heartbeat overflow issue.<br>
07-Apr-2014:       OpenSSL 1.0.1g is now available, including bug and<br>
security fixes<br>
24-Feb-2014:       Beta 1 of OpenSSL 1.0.2 is now available, please test it now<br>
06-Jan-2014:       OpenSSL 1.0.0l is now available, including bug and<br>
security fixes<br>
06-Jan-2014:       OpenSSL 1.0.1f is now available, including bug and<br>
security fixes<br>
03-Jan-2014:       UPDATE: site defacement final details.<br>
11-Feb-2013:       OpenSSL 1.0.1e is now available, including bug fixes<br>
05-Feb-2013:       Security Advisory: three security fixes<br>
05-Feb-2013:       OpenSSL 1.0.1d is now available, including bug and<br>
security fixes<br>
05-Feb-2013:       OpenSSL 1.0.0k is now available, including security fixes<br>
--<br>
<br>
Theo nghiên cứu của anh Nghĩa thì việc tìm ra và fix lỗi như OpenSSL thế<br>
này là nhanh hơn (hay chậm hơn) so với các bug khác của phái &quot;nguồn đóng&quot;?<br></blockquote><div>Trả lời câu hỏi này, nhanh hay chậm, thế giới nguồn mở chỉ ra rằng: <br></div><div>1. Cả nguồn đóng và nguồn mở đều có lỗi.<br>
</div><div>2. Trong khi với nguồn mở, một khi phát hiện ra lỗi, thì có thể nhanh chóng được sửa.<br></div><div>3. Với phần mềm đóng, việc có lỗi có khi do chính hãng gây ra hoặc chính hãng hợp tác với những nơi khác gây ra (như trong trường hợp của Microsoft với NSA mà chúng ta đã được biết qua các tiết lộ của Snowden). Vì thế đây là con đường cụt hoàn toàn.<br>
</div><div>4. Nguyên tắc hiện nay khi đề cập tới an ninh, người ta nói về một hệ thống đàn hồi hoặc phục hồi được (Resilience) và tính lanh lẹ (Agile), hiểu theo nghĩa là không một hệ thống nào, không một phần mềm nào là có thể không bị đánh. Với một hệ thống đàn hồi và lanh lẹ thì có khả năng chống đỡ được, còn với các hệ thống không có điều đó thì ... chịu.<br>
</div><div>Kết hợp lại những điều trên, vì thế bây giờ thế giới nói muốn hệ thống có anh ninh, thì phải đi với nguồn mở. Điều này không đồng nghĩa với việc nguồn mở sẽ không có lỗi và không bị đánh.<br></div><div>Có những người thích dựa vào những vụ việc cụ thể để làm panic, chẳng có nghĩa lý gì, vì bản chất không nằm ở đó. Vụ viện đang xảy ra với OpenSSL cũng vậy.<br>
</div><div>Xem thêm: <br>1. <a href="https://www.dropbox.com/s/9qewytgdc6d150w/lentz.pdf">https://www.dropbox.com/s/9qewytgdc6d150w/lentz.pdf</a><br>2. <a href="http://vnfoss.blogspot.com/2014/03/tai-lieu-dich-sang-tieng-viet-phong-thu.html">http://vnfoss.blogspot.com/2014/03/tai-lieu-dich-sang-tieng-viet-phong-thu.html</a><br>
</div><div>PS: Nếu bạn không đồng tình với những nguyên tắc chung ở trên, đừng cãi nhau cho mất thời gian. Sorry.<br></div><div></div><div>nghialt <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>
Comment (cá nhân): nhận xét của &quot;một số ý kiến cho rằng&quot; là có tính định<br>
kiến, quy chụp :-). Tuy nhiên, để trả lời ra nhẽ món này thì cần chuyên<br>
gia security + chuyên gia FOSS development :D<br>
<br>
<a href="http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html" target="_blank">http://www.troyhunt.com/2014/04/everything-you-need-to-know-about.html</a><br>
<br>
Cheers, Bình.<br>
<div class=""><br>
On 4/10/14 10:19 AM, Nguyen Hong Quang wrote:<br>
&gt; Chào anh em,<br>
&gt;<br>
&gt; Tôi nhận được đề nghị này từ Bộ 4T. Đây là câu hỏi có liên quan đến PMNM<br>
&gt; và VFOSSA cần có ý kiến. Đề nghị anh em nào có kiến thức sâu về OpenSSL<br>
&gt; lên tiếng. Anh Nghĩa sẽ tập hợp ý kiến của anh em và trả lời cho Bộ 4T.<br>
&gt;<br>
&gt; Thanks.<br>
&gt;<br>
&gt; Quang<br>
&gt;<br>
&gt;<br>
&gt; -------- Message original --------<br>
&gt; Sujet:        Lỗi bảo mật OpenSSL HeartBleed<br>
&gt; Date :        Thu, 10 Apr 2014 10:13:44 +0700<br>
&gt; De :  Lê Văn Chương &lt;<a href="mailto:chuonglv@mic.gov.vn">chuonglv@mic.gov.vn</a>&gt;<br>
&gt; Répondre à :  <a href="mailto:chuonglv@mic.gov.vn">chuonglv@mic.gov.vn</a><br>
&gt; Pour :        <a href="mailto:nguyen.hong.quang@auf.org">nguyen.hong.quang@auf.org</a>, <a href="mailto:tuanta@iwayvietnam.com">tuanta@iwayvietnam.com</a>,<br>
&gt; <a href="mailto:letrungnghia.foss@gmail.com">letrungnghia.foss@gmail.com</a><br>
&gt; Copie à :     <a href="mailto:dtgiang@mic.gov.vn">dtgiang@mic.gov.vn</a>, <a href="mailto:nttuyen@mic.gov.vn">nttuyen@mic.gov.vn</a>, <a href="mailto:ntduong@mic.gov.vn">ntduong@mic.gov.vn</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; Kính gửi các anh trong VFOSSA,<br>
&gt;<br>
&gt; Hôm qua và nay báo chí đều rầm rộ đăng tin về lỗ hổng Heartbleed của<br>
&gt; OpenSSL (version 1.0.1 - 1.0.1f). Sự cố này không xuất hiện ở các phiên<br>
&gt; bản cũ hơn hoặc mới nhất (version 1.0.1g). Một số ý kiến cho rằng, lỗi<br>
&gt; xuất hiện là do OpenSSL quá tham lam, nhồi nhét thêm quá nhiều chức<br>
&gt; năng, thêm vào đó, bản thân cộng đồng OpenSSL cũng không kiểm soát được<br>
&gt; việc chỉnh sửa mã nguồn dẫn tới có bug như hiện nay. Xin các anh cho một<br>
&gt; số ý kiến cá nhân về lỗi này.<br>
&gt;<br>
&gt; Kính thư,<br>
</div>&gt; *Le Van Chuong* (/Mr./)<br>
&gt; /Department of Information Technology/<br>
<div class="">&gt; Ministry of Information and Communications<br>
</div>&gt; *Add*: 18 Nguyen Du St., Hoan Kiem, Hanoi<br>
&gt; *Tel*: +84 4 39437720;   *Fax*: +84 4 39436927<br>
&gt; *Mobile*: +/84 982.123.789/<br>
&gt; *Website*: <a href="http://www.mic.gov.vn" target="_blank">http://www.mic.gov.vn</a> &lt;<a href="http://www.mic.gov.vn/" target="_blank">http://www.mic.gov.vn/</a>&gt;<br>
<div class=""><div class="h5">&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; POST RULES: <a href="http://wiki.vfossa.vn/guidelines:mailinglist" target="_blank">http://wiki.vfossa.vn/guidelines:mailinglist</a><br>
&gt; _______________________________________________<br>
&gt; Members mailing list: <a href="mailto:Members@lists.vfossa.vn">Members@lists.vfossa.vn</a><br>
&gt; <a href="http://lists.vfossa.vn/mailman/listinfo/members" target="_blank">http://lists.vfossa.vn/mailman/listinfo/members</a><br>
&gt; VFOSSA website: <a href="http://vfossa.vn/" target="_blank">http://vfossa.vn/</a><br>
_______________________________________________<br>
POST RULES: <a href="http://wiki.vfossa.vn/guidelines:mailinglist" target="_blank">http://wiki.vfossa.vn/guidelines:mailinglist</a><br>
_______________________________________________<br>
Members mailing list: <a href="mailto:Members@lists.vfossa.vn">Members@lists.vfossa.vn</a><br>
<a href="http://lists.vfossa.vn/mailman/listinfo/members" target="_blank">http://lists.vfossa.vn/mailman/listinfo/members</a><br>
VFOSSA website: <a href="http://vfossa.vn/" target="_blank">http://vfossa.vn/</a></div></div></blockquote></div><br></div></div>