OpenSSL-lek kan aanvaller https-servers laten crashen
OpenSSL komt vandaag met belangrijke beveiligingsupdates die een aantal kwetsbaarheden verhelpen, waaronder een beveiligingslek waardoor een aanvaller op afstand https-servers kan laten crashen en/of herstarten. Het probleem wordt veroorzaakt door een bug waardoor een aanvaller het geheugen van de server kan verbruiken, zo meldt internetgigant Akamai.
Oorspronkelijk had het OpenSSL-team aangekondigd dat de beveiligingsupdates, met versienummers 1.1.0a, 1.0.2i en 1.0.1u, rond 10:00 uur vanochtend zouden verschijnen. De updates zijn op het moment van schrijven nog altijd niet beschikbaar. Een paar minuten na het verstrijken van de genoemde tijd publiceerde Akamai echter een blogpost over de verholpen kwetsbaarheden. Exacte details worden hierin niet gegeven, behalve dat er in totaal een dozijn kwetsbaarheden zijn verholpen, waaronder een belangrijk beveiligingslek.
De belangrijke update verhelpt een kwetsbaarheid waardoor een kwaadaardige client berichten naar https-servers kan sturen die al het beschikbare geheugen kunnen verbruiken. Dit zal uiteindelijk tot een crash en/of het herstarten van de server leiden. Akamai zegt dat het inmiddels updates voor de eigen systemen heeft uitgerold en adviseert andere beheerders dit ook te doen. Zodra de OpenSSL-updates beschikbaar zijn zullen we dit melden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.
Update
De updates zijn inmiddels gepubliceerd, alsmede het betreffende beveiligingsbulletin. In totaal gaat het om 14 verschillende kwetsbaarheden, waarvan er één zoals aangekondigd als "high" is bestempeld. Zoals Akamai aangaf betreft het een denial of service-kwetsbaarheid die in de standaardconfiguratie aanwezig is. OpenSSL-versies voor 1.0.1g zijn in de standaardconfiguratie niet kwetsbaar. Een ander probleem dat als "moderate" is geclassificeerd kan ook voor een denial of service worden gebruikt. De resterende 12 kwetsbaarheden hebben de allerlaagste beoordeling van "low" en hun impact is dan ook veel kleiner. In tegenstelling tot wat Akamai aankondigde gaat het niet om http- maar https-servers.
Het artikel is inmiddels aangepast naar httpS waardoor mijn opmerking nu kant noch wal meer raakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.