OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek

[Captain Kirk]

OpenSSL zal volgende week voor de tweede keer sinds het bestaan van de software met een beveiligingsupdate voor een kritieke kwetsbaarheid komen. De vorige keer was in september 2016. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.

Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen.

Via kritieke kwetsbaarheden, een categorie die sinds 28 september 2015 door OpenSSL wordt gehanteerd, kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt.

Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug uit 2014 eerder aangetoond. Via dit lek werd informatie uit het geheugen van webservers gestolen, waaronder privésleuteld die voor TLS-certificaten worden gebruikt. Ook werd de kwetsbaarheid ingezet bij aanvallen tegen vpn-servers.

Het OpenSSL Project Team heeft vandaag aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen. Voor OpenSSL versie 1.1.x is geen beveiligingsupdate aangekondigd.

 

bron: https://www.security.nl