OpenSSL

Bách khoa toàn thư mở Wikipedia
Bước tới: menu, tìm kiếm
OpenSSL
Phát triển bởi Dự án OpenSSL
Bản ổn định 1.0.1h (5 tháng 6, 2014; 38 ngày trước)
1.0.0m (5 tháng 6, 2014; 38 ngày trước)
0.9.8za (5 tháng 6, 2014; 38 ngày trước) sửa dữ liệu
Bản mới nhất 1.0.1h (5 tháng 6, 2014; 38 ngày trước)
1.0.0m (5 tháng 6, 2014; 38 ngày trước)
0.9.8za (5 tháng 6, 2014; 38 ngày trước) sửa dữ liệu
Được viết bằng C, hợp ngữ
Hệ điều hành Nhiều
Thể loại Thư viện bảo mật
Giấy phép Apache 1.0, BSD 4 điều khoản
Website www.openssl.org

OpenSSLphần mềm nguồn mở thực hiện các giao thức SSL và TLS. Thư viện gốc thực hiện các hàm mật mã học cơ bản và cung cấp nhiều hàm có ích trong ngôn ngữ lập trình C. Có sẵn những phần mềm cho phép sử dụng thư viện OpenSSL trong nhiều ngôn ngữ.

Có sẵn phiên bản cho phần nhiều hệ điều hành tương tự Unix (bao gồm Solaris, Linux, Mac OS X, và các hệ điều hành BSD nguồn mở), OpenVMS, và Microsoft Windows. IBM cung cấp một phiên bản tương thích với Hệ thống i (OS/400). OpenSSL dựa trên SSLeay do Eric A. Young và Tim Hudson phát triển cho đến vào khoảng tháng 12 năm 1998, khi RSA Security bắt đầu mướn Young và Hudson.

Heartbleed[sửa | sửa mã nguồn]

Biểu trưng của lỗi Heartbleed. Biểu trưng và tên "Heartbleed" đã tăng sự nhận thức của công chúng về vấn đề này.[1][2]

Ngày 7 tháng 4 năm 2014, dự án OpenSSL tuyên bố rằng tất cả các phiên bản trong sê ri 1.0.1 cho đến và bao gồm cả 1.0.1f có một lỗi trong phần thực hiện phần mở rộng heartbeat (nhịp đập tim) của TLS,[3] do đó lỗi được đặt tên hiệu là Heartbleed, tạm dịch "trái tim chảy máu" hay "trái tim rỉ máu". Vào lúc tuyến bố lỗi, có ước lượng rằng vào khoảng 17% tức nửa triệu trong số máy chủ Web bảo mật trên Internet được tín nhiệm bởi nhà cung cấp chứng thực có thể tấn công được.[4]

Những hacker có thể lợi dụng lỗi này để tiết lộ bộ nhớ của ứng dụng cho tới 64 kilôbyte mỗi lần gửi dấu hiệu "đập tim".[5] Những người tấn công có thể đọc bộ nhớ của máy chủ để truy cập các dữ liệu cá nhân và làm hại đến sự an toàn của máy chủ và những người dùng. Vấn đề này có thể có ảnh hưởng đến các dữ liệu an toàn như khóa chủ cá nhân của máy chủ và các cookie phiên của người dùng,[6][7] cho phép người tấn công phá mã các thông tin đã được nghe lén và thực hiện một tấn công xen giữa (man-in-the-middle).

Tham khảo[sửa | sửa mã nguồn]

  1. ^ McKenzie, Patrick (9 tháng 4 năm 2014). “What Heartbleed Can Teach The OSS Community About Marketing” (bằng tiếng Anh). Truy cập ngày 10 tháng 4 năm 2014. 
  2. ^ Biggs, John (9 tháng 4 năm 2014). “Heartbleed, The First Security Bug With A Cool Logo”. TechCrunch (bằng tiếng Anh). Truy cập ngày 10 tháng 4 năm 2014. 
  3. ^ Seggelmann, R.; Tuexen, M.; Williams, M. (tháng 2 năm 2012). “RFC 6520: Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension” (bằng tiếng Anh). Internet Engineering Task Force. Truy cập ngày 8 tháng 4 năm 2014. 
  4. ^ Mutton, Paul (8 tháng 4 năm 2014). “Half a million widely trusted websites vulnerable to Heartbleed bug” (bằng tiếng Anh). Netcraft. Truy cập ngày 8 tháng 4 năm 2014. 
  5. ^ “TSL heartbeat read overrun (CVE-2014-0160)” (Thông cáo báo chí) (bằng tiếng Anh). Dự án OpenSSL. 7 tháng 4 năm 2014. Truy cập ngày 8 tháng 4 năm 2014. 
  6. ^ “Heartbleed Bug” (bằng tiếng Anh). Codenomicon. 8 tháng 4 năm 2014. Truy cập ngày 8 tháng 4 năm 2014. 
  7. ^ Goodin, Dan (8 tháng 4 năm 2014). “Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping”. Ars Technica (bằng tiếng Anh). Truy cập ngày 8 tháng 4 năm 2014. 

Xem thêm[sửa | sửa mã nguồn]

Liên kết ngoài[sửa | sửa mã nguồn]