Vòng đời OpenSSL 1.1.1 chính thức kết thúc, người dùng cần nâng cấp

VNZ-NEWS
Vn-Z.vn Ngày 12 tháng 09 năm 2023, OpenSSL là một thư viện mã nguồn mở và công cụ mã hóa được sử dụng rộng rãi trong lĩnh vực bảo mật mạng. OpenSSL cung cấp một tập hợp các chức năng và giao diện lập trình ứng dụng (API) để triển khai các giao thức bảo mật như SSL (Secure Sockets Layer) và TLS (Transport Layer Security).
OpenSSL là một công cụ quan trọng và phổ biến trong việc triển khai bảo mật mạng , OpenSSL được sử dụng rộng rãi trong các ứng dụng web, máy chủ email, ứng dụng di động và nhiều hệ thống khác.
Hiện tại vòng đời OpenSSL 1.1.1 (EOL) đã chính thức kết thúc vào ngày 11/9. Nhà phát triển OpenSSL đã đưa ra cảnh báo vào tháng 6 năm 2023 và kêu gọi người dùng nâng cấp.

ossl-code-1200.webp


Phiên bản 1.1.1 của OpenSSL ban đầu được phát hành vào tháng 9 năm 2018, nhà cung cấp hỗ trợ và bảo trì trong 5 năm cho mỗi phiên bản dài hạn. Hiện tại, sự hỗ trợ cho OpenSSL 1.1.1 đã chính thức kết thúc.
Các chuyên gia khuyến nghị người dùng nâng cấp lên phiên bản OpenSSL 3.X, trong đó phiên bản dài hạn là OpenSSL 3.0, với vòng đời kéo dài đến ngày 7 tháng 9 năm 2026.

OpenSSL 3.0 có nhiều thay đổi quan trọng so với các phiên bản cũ, tuy nhiên OpenSSL3.0 lại không hoàn toàn tương thích với các phiên bản trước đó. Các thay đổi của phiên bản 3.X bao gồm việc tích hợp tiêu chuẩn xử lý thông tin liên bang (FIPS), sử dụng giấy phép mã nguồn mở Apache License 2.0, đồng thời loại bỏ một số API cũ.

Trước đây OpenSSL từng tồn tại lỗ hổng bảo mật cực kỳ nghiêm trọng làm ảnh hưởng tới một nửa internet thế giới.

Lỗ hổng Heartbleed được công bố công khai vào tháng 4 năm 2014. Lổ hổng này cho phép tin tặc đọc thông tin nhạy cảm từ bộ nhớ của máy chủ và có thể bao gồm các thông tin như khóa mã hóa, thông tin đăng nhập và dữ liệu người dùng khác. Gây nguy hiểm nghiêm trọng cho sự riêng tư và an ninh trực tuyến.
Heartbleed ảnh hưởng đến phiên bản OpenSSL từ 1.0.1 đến 1.0.1f. Lỗ hổng này đã tồn tại trong một thời gian dài trước khi được phát hiện, và nó đã tạo ra một cuộc khủng hoảng bảo mật lớn khiến các nhà cung cấp dịch vụ và người dùng phải thực hiện các biện pháp khắc phục ngay lập tức.

Quay trở lại với phiên bản OpenSSL 1.1.1 , nhà cung cấp cho biết hầu hết các phần mềm sử dụng OpenSSL 1.1.1 chỉ cần biên dịch lại để hoạt động bình thường, nhà phát triển sẽ nhận thấy nhiều cảnh báo biên dịch về việc sử dụng các API đã bị loại bỏ. Trước khi vòng đời của OpenSSL 1.1.1 kết thúc, người dùng cần thực hiện các biện pháp cần thiết để đảm bảo sự hỗ trợ từ phía nhà cung cấp và đảm bảo tính bảo mật.




Vn-Z.vn team tổng hợp tham khảo nguồn OpenSSL