Phát hiện một lỗ hổng mã hoá trong OpenSSL

Các nhà nghiên cứu đã tìm ra một cách hack phần mềm kiểm chứng OpenSSL sử dụng trong các mạng riêng ảo (VPN) và web server bằng các chứng chỉ giả mạo.

Lỗ hổng này ảnh hưởng tới một tập khoá giải mã X.509 được biết đến với cái tên PKCS #1. Kẻ khai thác sẽ được cung cấp chứng chỉ bất hợp pháp hoặc giả mạo. Chúng được chấp nhận như một chứng chỉ thật khi dùng để phá hoại hệ thống, nhất là trong các hệ thống chưa được cập nhật bản vá lỗi.

Các phiên bản phần mềm giải mã PKCS từ 0.9.7j tới 0.9.8b được cảnh báo là nằm trong mức nguy hiểm. Một dự án mã nguồn mở khuyến cáo bất kỳ ai sử dụng phần mềm này nên cập nhật ngay lập tức.

“Có thể hệ thống của bạn sẽ kiểm chứng sai chứng chỉ nếu nó không kiểm tra dữ liệu dư thừa thông qua dấu hiệu RSA trong các kết quả hàm mũ”, một chuyên gia tư vấn cảnh báo.

Lỗ hổng này do chuyên viên mật mã Daniel Bleichenbacher của Bell Lab phát hiện và lần đâu đề cập đến tại Hội nghị Crypto 2006 hồi tháng trước. Đến nay mới chỉ có một chuyên gia thông báo rằng anh ta đã tạo được bản sửa chữa lỗi này.

Số lượng công ty bị ảnh hưởng hiện chưa thống kê được. Nhưng tin chắc rằng con số đó không hề nhỏ. Vì bộ chức năng mã nguồn mở OpenSSL thường xuyên được thực thi trong giao thức SSL (Secure Socket Layer) và TLS (Transport Layer Protocols).