image

Belangrijke update voor OpenSSL aangekondigd

vrijdag 29 april 2016, 08:41 door Redactie, 9 reacties

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die aanstaande dinsdag 3 mei zal verschijnen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

De updates van aanstaande dinsdag hebben versienummers 1.0.2h en 1.0.1t meegekregen en verhelpen meerdere kwetsbaarheden, waarvan de ergste als "high severity" zijn bestempeld. OpenSSL laat niet weten wat aanvallers in dit geval kunnen doen, maar stelt dat ervoor kwetsbaarheden met deze classificatie altijd een nieuwe versie wordt uitgebracht. De updates worden tussen 14:00 uur en 17:00 uur beschikbaar gemaakt.

Eind januari en begin maart verschenen er ook nieuwe versies van OpenSSL. Het ging toen onder andere om kwetsbaarheden met de high-classificatie waardoor een aanvaller de privésleutel van een doelwit kon achterhalen. De update van maart verhielp de beruchte drown-aanval. Via dit lek kan een aanvaller, door gebruik te maken van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, de inhoud van versleutelde verbindingen lezen en zo gevoelige informatie achterhalen.

Reacties (9)
29-04-2016, 09:52 door [Account Verwijderd]
[Verwijderd]
29-04-2016, 10:31 door Anoniem
Door OpenXOR: En lekker met z'n allen dat brakke OpenSSL blijven gebruiken. En het is echt niet nodig. Betere alternatieven zijn al lange tijd beschikbaar.

Goed dat je je kennis deelt en de alternatieven bij naam noemt! ;)
29-04-2016, 10:49 door Anoniem
Door OpenXOR: En lekker met z'n allen dat brakke OpenSSL blijven gebruiken. En het is echt niet nodig. Betere alternatieven zijn al lange tijd beschikbaar.

Zeer constructieve reactie.
Het zou je sieren niet iets korts te roepen maar daadwerkelijk in te gaan op wat je zegt. Anders blijft het loze FUD waar niemand iets mee kan.
Welke alternatieven? Voor en nadelen?
29-04-2016, 11:45 door BadAss.Sx
Door OpenXOR: En lekker met z'n allen dat brakke OpenSSL blijven gebruiken. En het is echt niet nodig. Betere alternatieven zijn al lange tijd beschikbaar.

BIJzonder nutteloze reactie zeg.
29-04-2016, 13:38 door Anoniem
lmgtfy.com ...https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations
29-04-2016, 14:21 door Anoniem
Door Anoniem: lmgtfy.com ...https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations

Dit zegt alleen niet, wat er beter is, of waarom het beter is, of wat de eigenschappen zijn. Afgezien het stukje licentie wat er in vermeld wordt.

Maw, we hebben hier eigenlijk niets aan.
29-04-2016, 19:11 door Anoniem
Achtergrond: de hoogste rating die OpenSSL hanteert voor kwetsbaarheden is 'critical'. 'high' is de eennahoogste rating. De kwetsbaarheid die rating 'high' heeft en hier wordt verholpen, zal dus niet van Heartbleed-niveau zijn.
29-04-2016, 19:36 door BenA
Even googlen levert het volgende op:
What is the best alternative to OpenSSL?

3 Answers
Ben Ustick
Ben Ustick, Social Media at Northcutt
532 Views

NSS is a set of libraries developed by Mozilla that, among other things, provide cryptographic tools that include a complete open-source implementation of TLS.
LibreSSL came about in direct response to Heartbleed. After Heartbleed, the team behind OpenBSD audited the code of OpenSSL and decided that they would prefer to fork it rather than continue contributing to the original project.
BoringSSL is Google’s take on OpenSSL.

For more information on any of these, check out this post from a company I work with. Reviewing OpenSSL Alternatives

Written Aug 23, 2015
https://www.quora.com/What-is-the-best-alternative-to-OpenSSL
29-04-2016, 23:37 door Anoniem
LibreSSL,
BoringSSL,
PolarSSL.

Zomaar een greep uit de alternatieven. Het maffe is dat ze trouwens nog steeds allemaal SSL in de naam hebben en niet TLS. Maar goed zal ook en kwestie zijn van volksmond en interpretatie.

-Sjonnie
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.