OpenSSL-lek kan remote code execution mogelijk maken
Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution.
"Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt.
De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld.
OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.
OpenSSL libs het suiker van iedere applicatie. Vermoed dat de komende tijd aardig wat updates uit gaan komen
OpenSSL libs het suiker van iedere applicatie. Vermoed dat de komende tijd aardig wat updates uit gaan komen
Het is weer een mooi voorbeeld, dat opensource, waarbij IEDEREEN de code kan zien, blijkbaar dat iedereen niet door heeft gehad.
Tenzij je een staatshacker bent natuurlijk....
En welke type machines hangen nu meestal aan het Internet voor de (schijn) veiligheid?
Net als Heartbleed alweer een memory-safety issue.
Ben ik even blij met Rustls als alternatief dat wel memory safe is!
https://rustls.dev
Het is weer een mooi voorbeeld, dat opensource, waarbij IEDEREEN de code kan zien, blijkbaar dat iedereen niet door heeft gehad.
Tenzij je een staatshacker bent natuurlijk....
En welke type machines hangen nu meestal aan het Internet voor de (schijn) veiligheid?
OpenSSL libs het suiker van iedere applicatie. Vermoed dat de komende tijd aardig wat updates uit gaan komen
Hoewel er nog geen publieke exploitcode is, en de impact momenteel vooral lijkt te liggen op Denial of Service, is het feit dat dit mogelijk kan leiden tot Remote Code Execution (RCE) reden genoeg voor verhoogde alertheid. Zeker gezien de enorme verspreiding van OpenSSL in client- en serversoftware, zou je verwachten dat er inmiddels Out-of-Band patches of ten minste communicatie zou zijn vanuit grote leveranciers en CERT’s.
Zelfs een snelle scan op een standaard Windows 11 client levert tientallen kwetsbare binaries op - waaronder in software van o.a. Zoom, Citrix, Microsoft, Nmap, SSMS, Visual Studio en zelfs Steam. Veel daarvan gebruiken OpenSSL 1.1.1 of 3.x builds die nu als kwetsbaar zijn aangemerkt.
De stilte is zorgwekkend. Dit raakt niet alleen servers, maar ook duizenden clientinstallaties en ontwikkelomgevingen. Tijd voor actie - en transparantie. (Of ik moet het helemaal verkeerd inschatte, dat kan ook heel goed. Ik ben geen doorgewinterde beveiliging onderzoeker)
Zelf scannen? Gebruik dit script:
https://gists.mickert.dev/6e97ddaf163503beb78a49b397fca96b#check_openssl_version.py
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
