OpenSSL kondigt belangrijke patch voor kwetsbaarheden aan
Het OpenSSL Team heeft aangekondigd aanstaande donderdag 28 januari een patch beschikbaar te stellen voor twee nieuwe kwetsbaarheden. De eerste kwetsbaarheid is geclassificeerd als "high" en bevindt zich volgens het bericht alleen in de 1.0.2 versies. De tweede kwetsbaarheid is geclassificeerd als "low" en zou zich in alle OpenSSL versies bevinden.
De classificatie "high" is de een na hoogste classificatie voor kwetsbaarheden in OpenSSL, alleen "critical" is nog ernstiger.
High Severity
Op de Security Policy pagina van OpenSSL wordt een "HIGH" Severity issue als volgt omschreven: "High Severity: This includes issues that are of a lower risk than critical, perhaps due to affecting less common configurations, or which are less likely to be exploitable. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to keep the time these issues are private to a minimum; our aim would be no longer than a month where this is something under our control."
Zo snel mogelijk installeren
Het is vooralsnog gissen wat de kwetsbaarheid exact inhoud. Wel raadt Security.NL alle systeembeheerders aan om donderdag tijd vrij te maken en de patches zo snel mogelijk te installeren.
OpenSSL is een populaire SSL implementatie die wordt gebruikt in verschillende webservers en VPN oplossingen. OpenSSL kwam al eerder in het nieuws door verschillende ernstige kwetsbaarheid, waaronder de Heartbleed bug in 2014.
Mooi trots blijven. Dom geboren en niets bijgeleerd!
Het heeft namelijk niets met het Win of Mac OS te maken!
Ook jouw Mac maakt gebruik van OpenSSL.
Ook jouw Mac maakt gebruik van OpenSSL.
Ja, maar dat is een heel oude versie die voor deze bug buiten schot blijft.:
OpenSSL 0.9.8zg 14 July 2015
Alleen de "high risk' bug zit alleen in de nieuwere 1.0.2 versies.
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Nou ja "keer op keer", Maar OpenSSL wordt op zoveel plaatsen gebruikt dat de impact meteen heel groot is bij een bug.
Reden zou je zeggen om de source extra goed te bekijken maar daarmee haal niet niet alle bugs eruit. Google is naar een eigen fork overgestapt en OpenVPN doet het tegenwoordig (sinds 2.3) met PolarSSL.
Er moet echt wel iets veranderen in dat clubje denk ik.
En het probleem is er niet een van "dat clubje", het is er een van een industrie die wel massaal gebruik maakt van gratis code maar even massaal nalaat om een kleine fractie van de kosten die ze uitsparen door het niet zelf te hoeven ontwikkelen te doneren aan de clubjes die die code beheren. Gelukkig is naar aanleiding van Heartbleed het Core Infrastructure Initiative opgericht om precies daar wat aan te doen.
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Nou ja "keer op keer", Maar OpenSSL wordt op zoveel plaatsen gebruikt dat de impact meteen heel groot is bij een bug.
Ik heb het niet over het aantal bugs maar over het feit dat de bugs keer op keer alleen de nieuwste versies betreffen en
de oude versies gewoon veilig blijken te zijn.
Wat is er fout aan het gaan als er nieuwe versies uitkomen die bugs bevatten terwijl er al oude versies zijn zonder die bugs?
Wat voegen die nieuwe versies toe waarom je ze zou willen hebben, en waarom gaat de kwaliteit kennelijk omlaag?
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En men geeft er nooit naar willen kijken en opschonen.
Te veel legacy waar niemand zich aan durft te branden.
Te complex door te veel aanpassingen.
Encryptie is ook een complex iets, waardoor de kennis ook weer gelimiteerd is.
De code is gewoon buggy.
Al met al, probleem op probleem op probleem en door de grote gebruikt, is het allemaal lastig aan te passen. 1 aanpassing kan grote gevolgen hebben.
Daarom zijn er nu zoveel afsplitsingen. Als je lijkt naar de OpenBSD versie, die een fork is op de OpenSSL, maar gewoon met een harde hand door de broncode loopt. Zie je veel vreemde dingen voorbij komen. Of wel er zitten eigenlijk in de huidige versie nog veel mogelijke fouten of issues die eigenlijk opgelost zouden moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.