OpenSSL kondigt belangrijke beveiligingsupdate aan voor 7 februari

[Captain Kirk]

De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1.

Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

 

bron: https://www.security.nl