OpenSSL dicht lekken en verbetert Logjam-bescherming
Vandaag zijn er nieuwe versies van OpenSSL verschenen waarin twee kwetsbaarheden zijn verholpen en een eerder doorgevoerde beveiligingsmaatregel tegen de Logjam-aanval is verbeterd. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.
De eerste kwetsbaarheid die de ontwikkelaars hebben gepatcht is als 'high' aangemerkt en alleen aanwezig in versie 1.0.2. Het probleem ligt in de priemgetallen die OpenSSL gebruikt voor het Diffie-Hellman-protocol (de Diffie-Hellman-parameters). Dit protocol wordt gebruikt voor het uitwisselen van sleutels zodat er versleuteld kan worden gecommuniceerd. Normaal gebruikt OpenSSL alleen "veilige" priemgetallen hiervoor. Sinds versie 1.0.2 is er echter ondersteuning toegevoegd voor het genereren van parameterbestanden gebaseerd op de X9.42-standaard.
De priemgetallen in deze bestanden zijn mogelijk niet veilig. In het geval een programma Diffie-Hellman gebruikt en van priemgetallen gebruikmaakt die niet "veilig" zijn, kan een aanvaller dit gebruiken om de privésleutel van het doelwit te achterhalen. Wanneer OpenSSL tevens is geconfigureerd om niet voor iedere verbinding een nieuwe privésleutel te gebruiken (perfect forward secrecy), dan is het mogelijk om de versleutelde verbindingen die deze achterhaalde privésleutel gebruiken te ontsleutelen.
Verder is er zowel in OpenSSL 1.0.2 als 1.0.1 een kwetsbaarheid verholpen die als "low" is aangemerkt en op sslv2 betrekking heeft. Wanneer sslv2 niet is uitgeschakeld, kan een kwaadaardige client alle sslv2-algoritmes gebruiken om een sslv2-handshake te voltooien, ook diegene die wel zijn uitgeschakeld.
Daarnaast is ook de beveiliging tegen de Logjam-aanval verbeterd. Via Logjam kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen. Om TLS-clients tegen Logjam-aanvallen te beschermen besloot OpenSSL om handshakes te weigeren die korter dan 768 bits zijn. Dat is nu naar 1024 bits verhoogd. Beheerders krijgen het advies om naar OpenSSL 1.0.2f of 1.0.1r te updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.