OpenSSL dicht meerdere beveiligingslekken

[Captain Kirk]

De ontwikkelaars van OpenSSL hebben vandaag verschillende beveiligingsupdates uitgerold die meerdere kwetsbaarheden verhelpen waardoor in het ergste geval een aanvaller die zich tussen een doelwit en het internet bevindt versleuteld verkeer kan ontsleutelen.

Het gaat in dit geval om geheugencorruptieproblemen in de ASN.1-encoder en AES-NI CBC MAC check. De problemen werden in 2013 geïntroduceerd als oplossing voor een andere aanval. Het probleem in de ASN.1-encoder is aanwezig in alle OpenSSL-versies van voor april 2015. De kwetsbaarheid werd op 18 april 2015 gepatcht en de update in kwestie verscheen al op 11 juni 2015. De impact van de kwetsbaarheid was destijds nog niet bekend.

Het probleem in de AES-NI CBC MAC check werd op 13 april van dit jaar ontdekt. Om beide beveiligingslekken te kunnen misbruiken moet een aanvaller zich tussen het doelwit en het internet bevinden. Daarnaast moet de verbinding AES CBC-encryptie gebruiken en de server AES-NI ondersteunen. De vier overige problemen die vandaag zijn gepatcht zijn als "low" aangemerkt. Beheerders krijgen het advies om naar OpenSSL 1.0.2h of OpenSSL 1.0.1t te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

 

bron: security.nl