OpenSSL verhelpt lekken, voegt Logjam-bescherming toe

[Captain Kirk]

De makers van OpenSSL hebben een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden verhelpt en bescherming tegen de Logjam-aanval toevoegt. Via Logjam kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen.

Om TLS-clients tegen Logjam-aanvallen te beschermen zal OpenSSL nu handshakes weigeren die korter dan 768 bits zijn. In de toekomst zal dit verder worden verhoogd naar 1024-bits. Verder zijn zes kwetsbaarheden in OpenSSL verholpen waardoor een aanvaller onder andere geheugencorruptie en Denial of Service-aanvallen kon veroorzaken. Gebruikers krijgen het advies om naar versie 1.0.2b, 1.0.1n, 1.0.0s of 0.9.8zg te upgraden, afhankelijk van welke versie erop het systeem is geïnstalleerd. De Logjam-bescerming is alleen aan versies 1.0.2b en 1.0.1n toegevoegd.

 

bron: security.nl