Zoals eerder deze week werd aangekondigd is er een belangrijke update voor OpenSSL verschenen die één beveiligingslek in sommige versies van de software verhelpt. De nu verholpen kwetsbaarheid maakte het mogelijk voor een aanvaller om software die via OpenSSL certificaten verifieert malafide certificaten te laten accepteren.

Certificaten worden door certificaatautoriteiten (CA's) uitgegeven. Onder een certificaat kan geen ander certificaat worden aangemaakt, tenzij dit certificaat over de CA-flag beschikt. In het geval van de nu verholpen kwetsbaarheid was het mogelijk voor een aanvaller om de controle op de aanwezigheid van deze CA-flag te omzeilen. Daardoor zou een eigenaar van een certificaat voor andere domeinen een certificaat kunnen maken dat vervolgens door OpenSSL werd geaccepteerd.

De kwetsbaarheid zit vooral in client software, maar is ook aanwezig in servers die voor de authenticatie van gebruikers client side certificaten gebruiken. In dit laatste geval dient de aanvaller zelf te beschikken over een geldig client side certificaat voordat deze andere certificaten kan uitgeven. Bedrijven werken bijvoorbeeld met client side certificaten, die zijn uitgegeven door het bedrijf. In dit geval is het bedrijf de CA. In dit scenario zou de aanvaller over een client side certificaat van de "bedrijfs CA" moeten beschikken. Dit zou vooral een risico bij kwaadwillend personeel of gehackte werknemers zijn.

Oplossing

De kwetsbaarheid is aanwezig in OpenSSL versies 1.0.2c, 1.0.2b, 1.01.n en 1.0.1o. Hierbij moet worden opgemerkt dat dit nog niet veelgebruikte versies zijn, wat de impact beperkt. Gebruikers krijgen het advies om te upgraden naar 1.0.2d of 1.0.1p. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. Veel installaties waren voor deze bug kwetsbaar.