OpenSSL kondigt update voor beveiligingslek aan
De ontwikkelaars van OpenSSL hebben een update aangekondigd die een beveiligingslek in versies 1.0.2c en 1.0.1o van de software zal verhelpen. Versies 1.0.0 of 0.9.8 zijn niet kwetsbaar. Het lek is geclassificeerd als "high", wat het hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.
Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. De update naar 1.0.2d en 1.0.1p is vanaf donderdag 9 juli beschikbaar.
Het is niet meer dan normaal dat ze het niet publiceren, doet de rest ook niet. Je gaat toch niet roepen welke zwakheden er in je software zijn als je dit nog niet hebt opgelost. De vooraankondigingen geven mensen de tijd om bijvoorbeeld al eventuele RFC's (Request for Change) voor te bereiden zodat je dit snel kan doorvoeren in productie als de nieuwe versie beschikbaar wordt gesteld.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
+1 ,goed opgemerkt!
Daarnaast hebben libressl en polarssl ook al wat mooie findings aan hun broek hangen (as in: niet 100% veilig)
Als LibreSSL en PolarSSL default gebruikt wordt door vendors ipv OpenSSL, dan ben ik erg benieuwd hoe snel de CVE's zullen oplopen voor deze producten:
PolarSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-12001/product_id-22470/Polarssl-Polarssl.html
LibreSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-97/product_id-30688/year-2014/opdos-1/Openbsd-Libressl.html
Dit zouden dan, vermoedelijk, er veel meer gaan worden.
Toegegeven, van scratch beginnen geeft je wel de kans om met een nieuwe start betere code te maken maar om te zeggen dat OpenSSL enorm ruk is en de alternatieven beter, dat moet zich eerst bewijzen denk ik.
Eerst maar zien welke vendor behalve OpenBSD default LibreSSL of PolarSSL gaat bundelen met zijn packages en dan kijken we wel verder ;)
Helemaal mee eens, appart he, dat ze weten wanneer de fix er is.
Die fix is er namelijk al, alleen de grotere bedrijven moeten eerst de kans krijgen om hun spul te patchen, voor dat de andere gebruikers het mogen. De ironie hierin is eigelijk, dat de meeste van deze bedrijven jaren lang niets aan openssl hebben bij gedragen of naar mijn persoonlijke mening niet voldoende, als wij naar de code kijken.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Er is een security audit voor OpenSSL bezig geloof ik: https://cryptoservices.github.io/openssl/2015/03/09/openssl-audit.html
Van de libressl mailing list een message van Brent Cook, de libressl portable maintainer:
On Wed, Jul 8, 2015 at 8:25 AM, <countrygeek@safe-mail.net> wrote:
> Hello,
> I wasn't able to find any information on the specifics of the bug, but it's been sensationalized in the news:
> http://www.v3.co.uk/v3-uk/news/2416659/heartbleed-fears-raised-with-incoming-openssl-bug-fix
>
> Just wondering if LibreSSL is already aware of this and (hopefully) immune to it.
>
To our knowledge, LibreSSL is not affected by the new OpenSSL bug.
Weten jullie of de release van 9 juli vulnerable zijn voor Citrix Netscaler en Citrix Xenapp?
En wat de gevolgen zijn voor Windows inclusief IIS?
Alvast bedankt voor jullie feedback!
Gr,
Newbee
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.