Điều này gần như chắc chắn ảnh hưởng đến tổ chức của bạn

Một lỗ hổng nghiêm trọng đã được phát hiện trong các phiên bản OpenSSL hiện tại và sẽ cần được vá ngay lập tức.
Dự án OpenSSL sẽ phát hành phiên bản 3.0.7 vào Thứ Ba, ngày 1 tháng 11 năm 2022.
Đây là một bản cập nhật quan trọng cần được thực hiện ngay lập tức.

Giải thích: OpenSSL là một thư viện phần mềm được sử dụng rộng rãi để kích hoạt các kết nối mạng an toàn. Và nó được sử dụng rộng rãi, ý tôi là gần như hoàn toàn phổ biến, nếu bạn đang sử dụng HTTPS, rất có thể bạn đang sử dụng OpenSSL. Hầu như tất cả mọi người đều dùng nó.

Vì vậy, đây là điều mà hầu như ai cũng cần phải lưu ý.

OpenSSL được phát triển bởi dự án OpenSSL đã thông báo vào vào thứ Tư, ngày 26 tháng 10, rằng họ sẽ phát hành bản vá cho một lỗ hổng nghiêm trọng vào thứ Ba tuần sau, ngày 1 tháng 11.

Dưới đây là cách Dự án OpenSSL xác định lỗ hổng nghiêm trọng:

“Mức độ nghiêm trọng CRITICAL. Điều này ảnh hưởng đến các cấu hình phổ biến và cũng có khả năng bị khai thác. Các ví dụ bao gồm tiết lộ đáng kể nội dung của bộ nhớ máy chủ (có khả năng tiết lộ thông tin chi tiết về người dùng), các lỗ hổng có thể dễ dàng bị khai thác từ xa để xâm phạm khóa riêng của máy chủ hoặc nơi có khả năng thực thi mã từ xa trong các tình huống phổ biến. Các vấn đề này sẽ được giữ kín và sẽ phát hành bản mới của tất cả các phiên bản được hỗ trợ. Chúng tôi sẽ cố gắng giải quyết những vấn đề này càng sớm càng tốt ”.

Như một tiêu chuẩn khá phổ biến, trong các tình huống bảo mật này, không có thông tin cụ thể về mối đe dọa chính xác là gì hoặc điểm yếu có thể nằm ở đâu vì họ đang cố gắng tránh những kẻ xấu cơ hội có thể khai thác lỗ hổng trước khi nó được vá.

Và mục đích của thông báo này là không gây hoảng sợ, không có lý do gì để hoảng sợ - điều này chỉ cần sự cảnh giác.

Đảm bảo rằng các bên liên quan hoặc trong tổ chức của bạn biết về lỗ hổng này, mức độ nghiêm trọng tiềm ẩn của nó và phiên bản OpenSSL (3.0.7) mới sẽ ra mắt vào ngày 1 tháng 11.

Nếu bạn là người dùng cá nhân, bạn cần kiểm tra xem bạn có thực sự đang sử dụng OpenSSL hay không và bạn đang sử dụng phiên bản nào của nó. Đây là khuyến cái, điều này ảnh hưởng đến phiên bản ba, vì vậy nếu bạn đang chạy 3.0.6 hoặc phiên bản cũ hơn (đừng thừa nhận điều đó), bạn sẽ cần phải vá lỗi này ngay lập tức.

Nếu bạn đang sử dụng phiên bản 1.1.1, lỗ hổng này không ảnh hưởng đến bạn, nhưng có một bản cập nhật 1.1.1 cũng sẽ đến vào thứ Ba, phiên bản 1.1.1s, bạn vẫn cần cập nhật lên, bạn cũng có thể lên lịch vào thứ Ba.

Thật không may, chỉ bao nhiêu thời gian hoặc mức độ liên quan đến bản cập nhật này vẫn chưa phải là điều mà dự án OpenSSL đã cho chúng tôi biết. Bất kể thứ ba sẽ là một ngày quan trọng, vì thời gian bạn cập nhật càng lâu trước khi cập nhật thì mạng của bạn càng có khả năng bị tấn công.

Chúng tôi đang theo dõi chặt chẽ tình hình này và sẽ tiếp tục cung cấp thông tin cập nhật trên blog và thông qua liên lạc trực tiếp với khách hàng (email) nếu cần thực hiện thêm bất kỳ hành động nào.