NCSC komt met overzicht van producten die van OpenSSL gebruikmaken
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid roept Nederlandse organisaties en bedrijven op zich voor te bereiden op de OpenSSL-update die vanmiddag verschijnt en een kritieke kwetsbaarheid in de software verhelpt. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde.
Het NCSC adviseert organisaties om in kaart te brengen waar ze precies allemaal van OpenSSL gebruikmaken. Om hier een handje bij te helpen heeft de overheidsinstantie een overzicht gemaakt van producten waarin OpenSSL aanwezig is. Het NCSC deed dit eerder ook al voor Log4j. Dit overzicht werd vervolgens wereldwijd gebruikt. Het nieuwe overzicht, met de naam "2022 OpenSSL vulnerability", is op GitHub te vinden.
De kritieke kwetsbaarheid, pas de tweede in OpenSSL waarvoor een patch verschijnt, is aanwezig in versie 3.0 vam de software. Versies 1.1.1 en 1.0.2 hebben niet met het probleem te maken. De update zou tussen 14.00 en 18.00 uur moeten uitkomen.
wat er dan allemaal bij elkaar komt te staan...
Linux distributies e.d.
Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.
Grootste impact zal denk ik op de Linux distributies zijn.....
Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.
Grootste impact zal denk ik op de Linux distributies zijn.....
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.
Die werken echt niet met de nieuwste OpenSSL 3.0 die amper een jaar oud is. Firewall fabrikanten zijn over het algemeen zeer terughoudend in het gebruik van nieuwe versies. Als het niet strict noodzakelijk is doen ze dat liever niet.
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.
Die werken echt niet met de nieuwste OpenSSL 3.0 die amper een jaar oud is. Firewall fabrikanten zijn over het algemeen zeer terughoudend in het gebruik van nieuwe versies. Als het niet strict noodzakelijk is doen ze dat liever niet.
Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.
Grootste impact zal denk ik op de Linux distributies zijn.....
Al die crappy docker images gok ik..
En alles met Node.js
Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.
Grootste impact zal denk ik op de Linux distributies zijn.....
Yepp Ubuntu 22.xx en RHEL 9 en alles met Alpine >=3.15 en Node.js >=17
Wel een probleem zijn de vmware tools op vmware servers, die hebben wel versie 3.
In hoeverre de kwetsbaarheid daarvan uit te buiten is weet ik niet.
iets onbelangrijks als "met 10000000 pogingen kun je de secret key van de server downloaden"...
https://docs.tenable.com/releasenotes/Content/nessus/nessus1030.htm
https://docs.tenable.com/releasenotes/Content/nessusagent/agent1020.htm
Helaas willen velen daar ook nog op bezuinigen.
Vandaar de situatie die we hebben.
Die er verstand van hebben, hebben niets te beslissen.
Die de beslissingen nemen, hebben er werkelijk geen snars verstand van meestal.
Ze werken ook nog niet en lopen toch flink binnen. Met een flinke bonus als kers op de inkomens-taart.
Keert de IT-wal het schip nog? Hoe ver moet de afbraak en de chaos eerst gaan en voortduren?
Alles wat je erover zegt is dan ook nog eens aan dovemensoren gericht.
#obserwator
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.