OpenSSL-lek maakt dos-aanvallen en uitlezen van geheugen mogelijk

[Captain Kirk]

Een kwetsbaarheid in OpenSSL maakt het mogelijk om de geheugeninhoud van systemen uit te lezen of een denial of service te veroorzaken. De ontwikkelaars hebben gisteren een beveiligingsupdate voor het probleem uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Gisteren verschenen nieuwe versies van OpenSSL die in totaal acht kwetsbaarheden verhelpen. De impact van zeven van de acht beveiligingslekken is beoordeeld als "moderate". De resterende kwetsbaarheid, CVE-2023-0286, kreeg het stempel "high" en doet zich voor bij de verwerking van een X509-certificaat. Wanneer het gebruik van een certificate revocation list (CRL) staat ingeschakeld is het mogelijk voor een aanvaller om de inhoud van het geheugen uit te lezen of een denial of service te veroorzaken.

Om de aanval mogelijk te maken moet daarnaast een aanvaller zowel de 'certificate chain' als de CRL aanbieden. Die hoeven echter niet van een geldige signature te zijn voorzien. CRL's zijn lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Als een aanvaller over slechts één van de twee controle heeft, moet de andere input al een X.400-adres als CRL distribution point hebben. Dat komt volgens het OpenSSL-ontwikkelteam niet zoveel voor. De kwetsbaarheid zou dan ook waarschijnlijk alleen applicaties raken die hun eigen functionaliteit hebben geïmplementeerd voor het ophalen van CRL's over een netwerk.

Aangezien de voorwaarden voor een succesvolle aanval alleen in bepaalde gevallen zich kunnen voordoen is de impact van het beveiligingslek als 'high' beoordeeld en niet als 'critical'. Gebruikers van OpenSSL wordt aangeraden om te updaten naar OpenSSL 1.1.1t of OpenSSL 3.0.8. Voor organisaties die nog een betaald onderhoudscontract voor versie 1.0.2 hebben is update 1.0.2zg verschenen.

 

bron: https://www.security.nl