OpenSSL
Phát triển bởi | Dự án OpenSSL |
---|---|
Kho mã nguồn | |
Viết bằng | C, hợp ngữ |
Hệ điều hành | Nhiều |
Thể loại | Thư viện bảo mật |
Giấy phép | Apache 1.0, BSD 4 điều khoản |
Website | www |
OpenSSL là một thư viện phần mềm cho các ứng dụng bảo mật truyền thông qua mạng máy tính chống nghe trộm hoặc cần phải xác định phe truyền thông ở bên đầu kia. Nó được sử dụng rộng rãi trong các máy chủ web internet, phục vụ phần lớn tất cả các trang web.
OpenSSL bao gồm phần mềm nguồn mở cho việc triển khai các giao thức mạng và mã hóa khác nhau như SSL và TLS. Thư viện gốc được viết bằng ngôn ngữ lập trình C, có sẵn những phần mềm cho phép sử dụng thư viện OpenSSL trong nhiều ngôn ngữ, cung cấp các chức năng mật mã tổng quát để mã hóa và giải mã. OpenSSL cũng được sử dụng từ dòng lệnh để yêu cầu, tạo và quản lý các chứng thực số.
Có sẵn phiên bản cho phần nhiều hệ điều hành tương tự Unix (bao gồm Solaris, Linux, Mac OS X, và các hệ điều hành BSD nguồn mở), OpenVMS, và Microsoft Windows. IBM cung cấp một phiên bản tương thích với Hệ thống i (OS/400). OpenSSL dựa trên SSLeay do Eric A. Young và Tim Hudson phát triển cho đến vào khoảng tháng 12 năm 1998, khi RSA Security bắt đầu mướn Young và Hudson.
Heartbleed
[sửa | sửa mã nguồn]Ngày 7 tháng 4 năm 2014, dự án OpenSSL tuyên bố rằng tất cả các phiên bản trong sê ri 1.0.1 cho đến và bao gồm cả 1.0.1f có một lỗi trong phần thực hiện phần mở rộng heartbeat (nhịp đập tim) của TLS,[3] do đó lỗi được đặt tên hiệu là Heartbleed, tạm dịch "trái tim chảy máu" hay "trái tim rỉ máu". Vào lúc tuyến bố lỗi, có ước lượng rằng vào khoảng 17% tức nửa triệu trong số máy chủ Web bảo mật trên Internet được tín nhiệm bởi nhà cung cấp chứng thực có thể tấn công được.[4]
Những hacker có thể lợi dụng lỗi này để tiết lộ bộ nhớ của ứng dụng cho tới 64 kilobyte mỗi lần gửi dấu hiệu "đập tim".[5] Những người tấn công có thể đọc bộ nhớ của máy chủ để truy cập các dữ liệu cá nhân và làm hại đến sự an toàn của máy chủ và những người dùng. Vấn đề này có thể có ảnh hưởng đến các dữ liệu an toàn như khóa chủ cá nhân của máy chủ và các cookie phiên của người dùng,[6][7] cho phép người tấn công phá mã các thông tin đã được nghe lén và thực hiện một tấn công xen giữa (man-in-the-middle).
Tham khảo
[sửa | sửa mã nguồn]- ^ McKenzie, Patrick (ngày 9 tháng 4 năm 2014). “What Heartbleed Can Teach The OSS Community About Marketing” (bằng tiếng Anh). Truy cập ngày 10 tháng 4 năm 2014.
- ^ Biggs, John (ngày 9 tháng 4 năm 2014). “Heartbleed, The First Security Bug With A Cool Logo”. TechCrunch (bằng tiếng Anh). Truy cập ngày 10 tháng 4 năm 2014.
- ^ Seggelmann, R.; Tuexen, M.; Williams, M. (2012). “RFC 6520: Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension” (bằng tiếng Anh). Internet Engineering Task Force. Truy cập ngày 21 tháng 11 năm 2020.
- ^ Mutton, Paul (ngày 8 tháng 4 năm 2014). “Half a million widely trusted websites vulnerable to Heartbleed bug” (bằng tiếng Anh). Netcraft. Truy cập ngày 8 tháng 4 năm 2014.
- ^ “TSL heartbeat read overrun (CVE-2014-0160)” (Thông cáo báo chí) (bằng tiếng Anh). Dự án OpenSSL. ngày 7 tháng 4 năm 2014. Bản gốc lưu trữ ngày 8 tháng 4 năm 2014. Truy cập ngày 8 tháng 4 năm 2014.
- ^ “Heartbleed Bug” (bằng tiếng Anh). Codenomicon. ngày 8 tháng 4 năm 2014. Truy cập ngày 8 tháng 4 năm 2014.
- ^ Goodin, Dan (ngày 8 tháng 4 năm 2014). “Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping”. Ars Technica (bằng tiếng Anh). Truy cập ngày 8 tháng 4 năm 2014.
Xem thêm
[sửa | sửa mã nguồn]- GnuTLS
- cryptlib
- JSSE (Phần mở rộng Ổ Bảo mật Java)
- Network Security Services
Liên kết ngoài
[sửa | sửa mã nguồn]- Website chính thức
- Wiki OpenSSL Lưu trữ 2014-04-09 tại Wayback Machine