OpenSSL kondigt belangrijke beveiligingsupdate aan

[Captain Kirk]

Aanstaande donderdag 25 maart komt OpenSSL met een belangrijke beveiligingsupdate, zo heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen.

Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt.

Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande donderdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1k verschijnt aanstaande donderdag 25 maart tussen 14:00 en 18:00 uur Nederlandse tijd.

 

bron: https://www.security.nl