image

OpenSSL kondigt belangrijke beveiligingsupdate aan voor 7 februari

dinsdag 31 januari 2023, 16:06 door Redactie, 13 reacties

De makers van OpenSSL komen volgende week dinsdag 7 februari met een belangrijke beveiligingsupdate, zo heeft het ontwikkelteam vandaag bekendgemaakt. De update verhelpt één of meerdere kwetsbaarheden waarvan de impact als "High" is bestempeld. Dergelijke kwetsbaarheden worden zelden in OpenSSL gerapporteerd. Vorig jaar ging het in totaal om vier van dergelijke beveiligingslekken. Drie daarvan bevonden zich echter in versie 3.0. De meeste OpenSSL-gebruikers werken met versie 1.1.1.

Details over de kwetsbaarheden die volgende week worden verholpen geeft het OpenSSL-team niet. Beveiligingslekken die als High zijn aangemerkt maken het mogelijk voor aanvallers om bijvoorbeeld private keys van servers te stelen of remote code uit te voeren. De reden dat dergelijke kwetsbaarheden als High zijn aangemerkt en niet als Critical is dat het probleem niet bij standaard configuraties voorkomt of minder eenvoudig te misbruiken is. OpenSSL versies 3.0.8, 1.1.1t en 1.0.2zg verschijnen volgende week dinsdag 7 februari tussen 14.00 en 18.00 uur. OpenSSL 1.0.2 is end-of-life, de update is dan ook alleen beschikbaar voor betalende klanten.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Reacties (13)
31-01-2023, 16:17 door _R0N_
Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
31-01-2023, 16:41 door SecOff
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Denk dat de meeste beheerders het wel fijn vinden dat ze een heads-up krijgen zodat ze capaciteit kunnen inplannen voor testen & patchen. Niet echt fijn om zonder voorafgaande waarschuwing alles uit je handen te moeten latten vallen om ad-hoc je systemen te gaan patchen
31-01-2023, 16:59 door Anoniem
Door SecOff:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Denk dat de meeste beheerders het wel fijn vinden dat ze een heads-up krijgen zodat ze capaciteit kunnen inplannen voor testen & patchen. Niet echt fijn om zonder voorafgaande waarschuwing alles uit je handen te moeten latten vallen om ad-hoc je systemen te gaan patchen
Dat is als de servers niet overbelast zijn door het stellen van zo een time window gezien we het hebben over een van de meest gebruikte software in infrastructuur ter wereld.
31-01-2023, 17:02 door Anoniem
Door SecOff:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Denk dat de meeste beheerders het wel fijn vinden dat ze een heads-up krijgen zodat ze capaciteit kunnen inplannen voor testen & patchen. Niet echt fijn om zonder voorafgaande waarschuwing alles uit je handen te moeten latten vallen om ad-hoc je systemen te gaan patchen

Precies dit, ik heb het geblokt in mijn agenda de hele middag.
31-01-2023, 17:04 door Anoniem
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?
31-01-2023, 20:50 door Anoniem
Nouwja 't zou natuurlijk wel helpen als ze ons zouden vertellen om welke specifieke configuratie dit gaat om alvast te kunnen evalueren of er kwetsbare systemen tussen.
Anderzijds (en dat zal ook wel reden zijn) geeft dat misschien teveel richting voor zero-day hunters.

Het lekken van de server key is wel een behoorlijk probleem, zal ook wel een remote exploit gaan worden dan.
31-01-2023, 22:17 door Anoniem
Door Anoniem:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?
Het is toch OPEN software?
01-02-2023, 08:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?
Het is toch OPEN software?

Klopt, daarom wordt het ook gevonden en snel gepatched. Bij CLOSED software weet je nooit wat je mist.
01-02-2023, 09:02 door _R0N_
Door Anoniem:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?

Ja.
01-02-2023, 09:03 door _R0N_
Door SecOff:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Denk dat de meeste beheerders het wel fijn vinden dat ze een heads-up krijgen zodat ze capaciteit kunnen inplannen voor testen & patchen. Niet echt fijn om zonder voorafgaande waarschuwing alles uit je handen te moeten latten vallen om ad-hoc je systemen te gaan patchen

Precies daarom dus. Welke ondersteuning gaat er verdwijnen? Welke wijzigingen gaan er straks problemen veroorzaken in bestaande software? etc.
Zeker met OpenSSL hebben we dat al eerder meegemaakt.
01-02-2023, 09:29 door Anoniem
Door _R0N_:
Door SecOff:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Denk dat de meeste beheerders het wel fijn vinden dat ze een heads-up krijgen zodat ze capaciteit kunnen inplannen voor testen & patchen. Niet echt fijn om zonder voorafgaande waarschuwing alles uit je handen te moeten latten vallen om ad-hoc je systemen te gaan patchen

Precies daarom dus. Welke ondersteuning gaat er verdwijnen? Welke wijzigingen gaan er straks problemen veroorzaken in bestaande software? etc.
Zeker met OpenSSL hebben we dat al eerder meegemaakt.

Man man man, heb een beetje geduld volgende week hoor je het. Ze hebben nog nooit details uitgegeven alvorens de patch beschikbaar is, wat nogal logisch is gezien er zoveel componenten hier van afhankelijk zijn en dus exploits voor de patch beschibaar is wil verkomen.
01-02-2023, 22:51 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?
Het is toch OPEN software?

Klopt, daarom wordt het ook gevonden en snel gepatched. Bij CLOSED software weet je nooit wat je mist.
Behalve als openSSL in een ander (embedded) product ingebakken is. Dan moet je wachten op een update van die leverancier. Kan maanden duren soms.
01-02-2023, 23:50 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_: Lekker duidelijk altijd die aankondigingen van OpenSSL.
Vertel gewoon wat het probleem is.
Erg domme opmerking; vertellen wat het probleem is voor de patch!. Doen ze dat voor patch Tuesday ook?

Ja.
Vandaar al die zero days.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.