Những lỗ hổng này chỉ ở mức độ vừa và thấp, nhưng các quản trị viên máy chủ vẫn nên cập nhật phiên bản mới này.

Các quản trị viên máy chủ được khuyến cáo nâng cấp OpenSSL lần nữa để khắc phục tám lỗ hổng mới, hai trong số đó có thể dẫn đến tấn công từ chối dịch vụ (DoS).

Những lỗ hổng này chỉ ở mức độ vừa và thấp, không giống như lỗ hổng Heartbleed được phát hiện hồi năm ngoái. Heartbleed cho phép kẻ tấn công có thể đánh cắp thông tin nhạy cảm bao gồm các khóa mã hóa từ máy chủ.

Tuy nhiên, "các quản trị viên hệ thống nên có kế hoạch nâng cấp các máy chủ đang chạy OpenSSL của họ trong những ngày tới", theo Tod Beardsley, quản lý kỹ thuật của công ty nghiên cứu lỗ hổng Rapid7, viết qua email vào hôm thứ Sáu.

Các phiên bản OpenSSL mới được phát hành gồm 1.0.1k, 1.0.0p và 0.9.8zd.

Hai lỗ hổng từ chối dịch vụ DoS, được biết đến với mã hiệu CVE-2014-3571 và CVE-2015-0206, chỉ ảnh hưởng đến OpenSSL được ứng dụng trong giao thức DTLS (Datagram Transport Layer Security), chứ không phải trong giao thức TLS (Transport Layer Security ) được sử dụng rộng rãi.

Giao thức DTLS mã hóa đường truyền thông qua giao thức datagram như UDP, được sử dụng cho những kết nối như VPN (Virtual Private Network) và WebRTC (Web Real-Time Communication).

"Để duy trì độ tin cậy của dịch vụ, OpenSSL nên được nâng cấp hoặc thay thế bằng các thư viện SSL mà không bị ảnh hưởng bởi những vấn đề này, chẳng hạn như LibreSSL," Beardsley nói.

Những lỗ hổng khác ảnh hưởng đến TLS và có thể dẫn đến cách xử lý không mong đợi khi OpenSSL được xây dựng với tùy chọn no-SSL3, một tình huống mà các máy chủ chấp nhận chứng chỉ DH để chứng thực client mà không có chứng chỉ kiểm chứng thông điệp và một trường hợp khi một client chấp nhận một quá trình bắt tay ECDH dù thiếu một thông điệp trao đổi khóa máy chủ, mà loại bỏ thuộc tính "forward secrecy" của tập cơ chế mã hóa.

"Chúng tôi vẫn đang tìm kiếm vào các vấn đề được công bố ngày hôm nay," Beardsley nói. "Trong khi những lỗ hổng này không cho phép thực thi mã từ xa hoặc tiết lộ thông tin, chúng tôi sẽ cho đội phát triển OpenSSL biết những gì khi chúng ta tìm thấy bất kỳ hướng tấn công không mong muốn nào mới."