Nieuws
image

OpenSSL accepteert vervalste certificaten

zaterdag 10 januari 2009, 12:11 door Redactie, 2 reacties

Een beveiligingslek OpenSSL zorgt ervoor dat vervalste certificaten toch als legitiem worden beschouwd. Via een man-in-the-middle aanval is het mogelijk om een SSL-verbinding te compromitteren, zonder dat op OpenSSL-gebaseerde clients hiervoor waarschuwen. Hierdoor kan een aanvaller de communicatie afluisteren. De oorzaak van het probleem ligt in het verkeerd controleren van DSA en ECDSA sleutels. Beide algoritmen zijn als alternatief voor RSA te gebruiken. Certificaten met RSA sleutels zijn niet kwetsbaar. Voor het slagen van de aanval moet een slachtoffer wel verbinding met een SSL/HTTPS server maken die DSA certificaten gebruikt. Volgens cijfers van Netcraft zijn er slechts 31 gevalideerde DSA-certificaten uitgegeven.

Het lek bevindt zich in alle OpenSSL releases voor versie 0.9.8j. Het probleem is daarnaast ook aanwezig in de BIND name server, ntp.org's NTP client en Sun's GridEngine. In het geval van BIND stelt het lek een aanvaller in staat om een vervalst name request te injecteren, zelfs als de infrastructuur door DNSSEC beschermd wordt. Naast het installeren van de update, is ook het uitschakelen van de DSA en ECDSA algoritmen in de configuratie een optie.

Reacties (2)
10-01-2009, 17:19 door Anoniem
Aha, dat verklaard waarom er gisteren tijdens het updaten ineens nog een update voor OpenSSL beschikbaar was :-) Mooi dat ook dit weer gefixt is.
12-01-2009, 11:55 door Anoniem
Misschien kunnen jullie de erg belangrijke nuance - dat je voor deze hack een correct DSA-certificaat nodig hebt en dat die er toch niet zijn, en dat openssl met de normale certificaten dus helemaal geen vervalsingen accepteert - ook even in de kop toevoegen.

Het is een beetje als de kop "VAN GOGHMUSEUM LAAT ALLES STELEN" boven een artikel dat er in het restaurant de gelegenheid is tot het gratis meenemen van suikerzakjes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search