image

Beveiligingsupdate OpenSSL schakelt sslv2 uit

dinsdag 1 maart 2016, 16:15 door Redactie, 6 reacties

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder de vandaag aangekondigde DROWN-aanval. Via dit lek kan een aanvaller, door gebruik te maken van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, de inhoud van versleutelde verbindingen lezen en zo gevoelige informatie achterhalen.

Om het probleem te verhelpen heeft OpenSSL besloten om in OpenSSL 1.0.2g en 1.0.1s sslv2 standaard uit te schakelen. Daarnaast worden de 'sslv2 export-ciphers' verwijderd. In totaal verhelpen OpenSSL 1.0.2g en 1.0.1s acht beveiligingslekken. Twee daarvan zijn als "high" aangemerkt. Naast de DROWN-kwetsbaarheid gaat het om een beveiligingslek dat in OpenSSL-versies voor 19 maart 2015 aanwezig is. Via deze kwetsbaarheid is het mogelijk om de sslv2-meestersleutel via slechts 16 verbindingen te bepalen. Ook laat het aanvallers een efficiëntere DROWN-aanval uitvoeren. De kwetsbare code werd op 19 maart 2015 al in OpenSSL 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8zf gepatcht.

Hetzelfde geldt voor de enige kwetsbaarheid die als "moderate" werd bestempeld en het ook mogelijk maakt om een efficiëntere DROWN-aanval uit te voeren. De resterende vijf kwetsbaarheden kregen met het stempel "Low" de laagste beoordeling. Gebruikers krijgen het advies om naar OpenSSL 1.0.2g of 1.0.1s te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

Reacties (6)
01-03-2016, 16:54 door [Account Verwijderd]
[Verwijderd]
01-03-2016, 18:43 door Anoniem
Door OpenXOR: Waarom heeft OpenSSL uberhaupt nog ondersteuning voor SSLv2?!? Zelfs SSLv3 is al dood! OpenSSL gebruiken is gewoon vragen om problemen!!

Wat een onzin om te stellen dat het vragen is om problemen, dan kan je ook zeggen dat een computer aan het internet hangen vragen om problemen is.

Ook OpenSSL is, mits geüpdatet, is prima af te richten zodat het veilig te gebruiken is. Ook online, te controleren via b.v.: www.ssllabs.com.
01-03-2016, 18:58 door Anoniem
Door OpenXOR: Waarom heeft OpenSSL uberhaupt nog ondersteuning voor SSLv2?!? Zelfs SSLv3 is al dood! OpenSSL gebruiken is gewoon vragen om problemen!!

dood? dat vind ik overdreven. Als je het configureerd totdat je een mooie Qualys labs A of A+ rating krijgt, dan is het echt wel veilig. En met elke software is wel eens wat en daarom moet je patchen.
02-03-2016, 00:17 door Erik van Straten
01-03-2016, 1654 door OpenXOR: Waarom heeft OpenSSL uberhaupt nog ondersteuning voor SSLv2?!? Zelfs SSLv3 is al dood! OpenSSL gebruiken is gewoon vragen om problemen!!
Wat moet je dan gebruiken?

Uit https://tls.mbed.org/tech-updates/releases/polarssl-1.2.6-released:
Author: Paul Bakker; Published: Mar 11, 2013; Last updated: Mar 15, 2013:
[...]
On request, we have re-added handling of SSLv2 Client Hello messages when the define POLARSSL_SSL_SRV_SUPPORT_SSLV2_CLIENT_HELLO is set.
[...]

01-03-2016, 18:58 door Anoniem: Als je het configureerd totdat je een mooie Qualys labs A of A+ rating krijgt, dan is het echt wel veilig.
Helaas hoeft dat niet altijd te kloppen, uit https://www.drownattack.com/#faq-ssllabs:
Last updated March 1, 2016, door mail@drownattack.com:
SSLLabs says I have SSLv2 disabled. That means I’m safe, right?

Unfortunately, no. Although SSLLabs provides an invaluable suite of security tests, right now it only checks whether your HTTPS server directly allows SSLv2. You’re just as much at risk if your site’s certificate or key is used anywhere else on a server that does support SSLv2.
Met andere woorden, als jouw server een A of beter krijgt, maar hetzelfde certificaat (en dus dezelfde private key) gebruikt wordt op andere webserver, of een andere service (bijv. SMTPS), al dan niet op dezelfde server, die wel SSLv2 ondersteunt, lopen verbindingen met jouw eerstgenoemde server ook gevaar.
02-03-2016, 07:58 door SPlid
Door Anoniem:
Door OpenXOR: Waarom heeft OpenSSL uberhaupt nog ondersteuning voor SSLv2?!? Zelfs SSLv3 is al dood! OpenSSL gebruiken is gewoon vragen om problemen!!

dood? dat vind ik overdreven. Als je het configureerd totdat je een mooie Qualys labs A of A+ rating krijgt, dan is het echt wel veilig. En met elke software is wel eens wat en daarom moet je patchen.

Probeer dan met sslv2/3 een A+ rating te krijgen , ik vrees dat je dit niet gaat lukken .......
02-03-2016, 10:39 door Anoniem
Door SPlid: Probeer dan met sslv2/3 een A+ rating te krijgen , ik vrees dat je dit niet gaat lukken .......
Tja, je had in plaats van openssl te upgraden ook al tijden lang je webservers config kunnen aanpassen...
Als een protocol niet klopt heb je immers weinig keuze. OpenSSL neem die keuze nu voor jou.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.