Noodpatch voor ernstig beveiligingslek in OpenSSL

[Captain Kirk]

De ontwikkelaars van OpenSSL hebben een noodpatch voor een ernstig beveiligingslek uitgebracht waardoor een aanvaller op afstand mogelijk willekeurige code op servers kan uitvoeren. De kwetsbaarheid werd veroorzaakt door een geplande beveiligingsupdate die afgelopen donderdag verscheen.

Het beveiligingslek is alleen aanwezig in OpenSSL 1.1.0a. Door pakketjes van meer dan 16k naar een server of systeem te sturen kan een aanvaller een crash veroorzaken. In potentie zou het echter ook mogelijk zijn om willekeurige code uit te voeren, waardoor aanvallers bijvoorbeeld een server of systeem kunnen overnemen. OpenSSL geeft alleen de grootste kwetsbaarheden de beoordeling "ernstig". Ook voor OpenSSL 1.0.2 is een update verschenen, alleen is de kwetsbaarheid in dit geval veel minder ernstig. Beheerders krijgen het advies om zo snel als mogelijk naar versies 1.1.0b of 1.0.2j te updaten.

OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De software is op veel systemen geïnstalleerd en ernstige kwetsbaarheden kunnen dan ook grote gevolgen hebben. Twee jaar geleden werd het Heartbleed-lek in OpenSSL ontdekt, een ander ernstig lek dat uiteindelijk actief werd gebruikt om servers en systemen aan te vallen.

 

 

bron: security.nl