• Hội thảo Quốc Gia lần thứ XVIII về CNTT
  • Lễ ký kết hợp tác đào tạo và nghiên cứu khoa học giữa Viện Công nghệ thông tin và Học viện An ninh nhân dân
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Viện Công nghệ thông tin ký kết hợp đồng
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Lễ ký kết hợp tác đào tạo và nghiên cứu khoa học giữa Viện Công nghệ thông tin và Học viện An ninh nhân dân
  • Viện Công nghệ thông tin ký kết hợp đồng
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Lễ ký kết hợp tác đào tạo và nghiên cứu khoa học giữa Viện Công nghệ thông tin và Học viện An ninh nhân dân
  • Ảnh 1
  • NCS. Đặng Thanh Chương
  • Viện Công nghệ thông tin ký kết hợp đồng
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội thảo Quốc gia về Công nghệ thông tin lần thứ XVIII
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Viện Công nghệ thông tin hợp tác với đối tác ngoài nước
  • Lễ ký kết hợp tác đào tạo và nghiên cứu khoa học giữa Viện Công nghệ thông tin và Học viện An ninh nhân dân
  • Viện Công nghệ thông tin hợp tác với đối tác ngoài nước
  • Lễ bổ nhiệm
  • Hội thảo “Giải pháp hạ tầng công nghệ thông tin cho mô hình kinh doanh mới”
  • Viện CNTT làm việc với Công ty Cổ phần Mía đường Lam Sơn
  • Hội thảo Quốc Gia lần thứ XVIII về CNTT
  • NCS. Trương Hải Hà
  • Viện Công nghệ thông tin ký kết hợp đồng
  • Viện Công nghệ thông tin hợp tác với đối tác ngoài nước
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • NCS. Đào Văn Thành
  • Buổi gặp mặt đầu xuân Đinh Dậu 2017
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Hội thảo Quốc Gia lần thứ XVIII về CNTT
  • NCS. Vũ Đức Quảng
  • Hội Thảo kỷ niệm 40 năm ngày thành lập Viện Công nghệ Thông tin
  • Về nguồn Khu di tích lịch sử Công an nhân dân
  • Gặp mặt đầu xuân 2019
  • NCS. Nguyễn Quỳnh Diệp
  • Hội chợ Techmart 2016
  • Hội thảo @ XX
  • Viện Công nghệ thông tin

Sản phẩm

Tin ngành Công nghệ thông tin

Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT

31/08/2020
 Với lỗ hổng vừa được phát hiện, đơn vị vận hành các nền tảng này có thể bị xâm nhập dữ liệu quan trọng, từ đó tạo tiền đề để hacker chiếm quyền điều khiển hệ thống.
Công ty cổ phần An ninh mạng Việt Nam (VSEC) vừa đưa ra cảnh báo khẩn cấp về lỗ hổng bảo mật nghiêm trọng trên ứng dụng Jenkins. 
Jenkins là phần mềm mã nguồn mở (opensource) dùng để thực hiện chức năng tích hợp liên tục (Continuous Integration - CI) và xây dựng các tác vụ tự động hóa. 
Lỗ hổng vừa được phát hiện có trên phiên bản Jetty 9.4.27 của Jenkins. Đây là phiên bản bổ sung cơ chế xử lý lỗi tràn bộ đệm khiến ứng dụng bị lỗi. Do đó, phiên bản này được rất nhiều nhà phát triển sử dụng.
Lỗ hổng này cho phép hacker xâm nhập dữ liệu quan trọng của người dùng, từ đó tạo tiền đề để chiếm quyền điều khiển hệ thống. Chính vì vậy, độ nguy hại của lỗ hổng Jenkins được đánh giá với số điểm 9.4/10 theo thang điểm CVSS 3.1
Lỗ hổng nguy hại trên mạng xã hội, ứng dụng chat và trang TMĐT
Theo các chuyên gia, lỗ hổng nguy hại trên Jenkins có thể ảnh hưởng tới các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử.
Continuous Integration (CI) là một trong những hệ thống phổ biến nhất tại các doanh nghiệp công nghệ Việt Nam. 80% doanh nghiệp có hệ thống CI đều sử dụng ứng dụng Jenkins để giúp tự động hoá trong nhiều công đoạn phát triển phần mềm.
Jenkins cũng được sử dụng nhiều trong các sản phẩm có nhiều người dùng như mạng xã hội, ứng dụng chat hay các trang thương mại điện tử. Theo thống kê, hiện có hơn 200.000 máy chủ đang cài đặt Jenkins phiên bản bị lỗi.
Theo đánh giá của các chuyên gia, với lỗ hổng nguy hiểm này, hacker có thể thực hiện các hoạt động trái phép như đánh cắp thông tin, phát tán dữ liệu mật. Kẻ xấu thậm chí có thể chiếm quyền điều khiển máy chủ, kiểm soát toàn bộ hệ thống thông tin quan trọng của doanh nghiệp.
Với việc được sử dụng khá phổ biến trong giới lập trình, mức độ nghiêm trọng của lỗ hổng Jenkins được dự báo sẽ ảnh hưởng nhiều đến các doanh nghiệp Việt Nam. VSEC khuyến cáo các tổ chức, doanh nghiệp cần cập nhật phiên bản mới đã vá lỗ hổng (Jetty 9.4.30.v20200611) sớm nhất và nhanh nhất có thể. 
Các doanh nghiệp cũng cần hạn chế công khai những hệ thống đang sử dụng trong mạng nội bộ, cấu hình Whitelist các IP được truy cập vào các hệ thống quan trọng. Đồng thời với đó, doanh nghiệp cũng cần cài đặt mật khẩu mạnh cho tài khoản hệ thống, kể cả những tài khoản có quyền hạn thấp.
Nguồn: ictnews.vietnamnet.vn