OpenSSL komt voor tweede keer in de geschiedenis met update voor kritiek lek
OpenSSL zal volgende week voor de tweede keer sinds het bestaan van de software met een beveiligingsupdate voor een kritieke kwetsbaarheid komen. De vorige keer was in september 2016. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.
Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen.
Via kritieke kwetsbaarheden, een categorie die sinds 28 september 2015 door OpenSSL wordt gehanteerd, kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt.
Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug uit 2014 eerder aangetoond. Via dit lek werd informatie uit het geheugen van webservers gestolen, waaronder privésleuteld die voor TLS-certificaten worden gebruikt. Ook werd de kwetsbaarheid ingezet bij aanvallen tegen vpn-servers.
Het OpenSSL Project Team heeft vandaag aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen. Voor OpenSSL versie 1.1.x is geen beveiligingsupdate aangekondigd.
Brrrr…
Brrrr…
Je weet niet of ze van een kerncentrale afkomen of daar al 10 jaar liggen.
Voordeel is wel dat je ze altijd kunt vervangen door nieuwe bakstenen, en dat kan met stenen die je alleen bij Redmond of Cupertino kunt kopen niet.
Je weet niet of ze van een kerncentrale afkomen of daar al 10 jaar liggen.
Voordeel is wel dat je ze altijd kunt vervangen door nieuwe bakstenen, en dat kan met stenen die je alleen bij Redmond of Cupertino kunt kopen niet.
OpenSSL gaan vergelijken met producten van Microsoft en Apple.
Afgeven op een update van OpenSSL 3.0 en dan OpenSSL 1.1 aanhalen wat een heel ander product is.
Denken dat je Genexis OpenWRT oplossing uit 2014 kwetsbaar zou zijn, toen was 3.0 er nog niet.
Denken dat OpenSSH en OpenSSL op enige manier verbonden zijn met elkaar.
OpenSSL is een veelgebruikt product en gelukkig wordt er actief aan ontwikkelt. Tevens is het heel fijn dat dit versie 3.0 treft en niet 1.1. 3.0 is net een jaar oud en op heel veel plekken nog niet eens in zicht om te gaan gebruiken. De meeste spullen in de wereld draaien op OpenSSL 1.1, en die versie is niet getroffen door dit lek.
Natuurlijk heeft dit wel een impact, er zijn genoeg moderne Linux distributies die al OpenSSL 3.0 gebruiken. Het zal ook in andere producten te vinden zijn, maar heel spannend zal dat niet zijn omdat het daarvoor nog veel te nieuw is. Maar weinig leveranciers zullen in bestaande producten overgestapt zijn van 1.1 ondertussen.
Dat neemt allemaal natuurlijk niet weg dat het belangrijk is om hier scherp op te zijn en zo snel mogelijk te updaten indien je 3.0 gebruikt. Dat is verder een no-brainer.
Waarschijnlijk dat bij het compilen van OpenSSH de OpenSSL library is gebruikt? Als er dan een kwetsbaarheid in OpenSSL zit, dan kan je daar binnen OpenSSH last van hebben, zonder dat het de fout van OpenSSH is.
Waarschijnlijk dat bij het compilen van OpenSSH de OpenSSL library is gebruikt? Als er dan een kwetsbaarheid in OpenSSL zit, dan kan je daar binnen OpenSSH last van hebben, zonder dat het de fout van OpenSSH is.
dude shared object en dynamic linking...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.