Nieuws

DigiD offline wegens hash collision-lek

zaterdag 28 januari 2012, 19:13 door Redactie, 4 reacties

De DigiD-systemen gaan binnenkort zes uur offline wegens het verhelpen van een hash collision kwetsbaarheid, maar welke wil overheidsinstantie Logius niet zeggen. Gisterenmiddag verstuurde Logius, dat onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is en producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging levert, onderstaande e-mail. Daarin wordt gewezen op een upgrade die op 6 februari tussen 0:00 en 06:00 uur zal plaatsvinden. De upgrade moet een kwetsbaarheid op de webserver voorkomen waardoor een denial of service-aanval is uit te voeren. Logius zou door het net opgerichte Nationaal Cyber Security Center (NCSC) hiervoor zijn gewaarschuwd.

Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt. Wel kan hij bevestigen dat het een hash collision kwetsbaarheid betreft. "Na zorgvuldige afweging wil Logius conform planning en na een testtraject de upgrade doorvoeren. Er is op dit moment na zorgvuldige analyse geen aanleiding gevonden om hiervan af te wijken en de upgrade moet vooral gezien worden als voorzorgsmaatregel", aldus woordvoerder Michiel Groeneveld.

Advies
Het NCSC geeft op de eigen website twee beveiligingsadviezen over "hash collision" kwetsbaarheden. De eerste dateert van 17 januari en betreft twee kwetsbaarheden in Apache Tomcat. De tweede waarschuwing is voor een hash collision kwetsbaarheid die in verschillende website ontwikkelplatformen is gevonden. De eerste versie van dit document dateert van 11 januari. Inmiddels zijn er elf nieuwe versies verschenen, waarvan de laatste gisteren uitkwam.

Patch
Updates voor de door het NCSC genoemde hash collision kwetsbaarheden zijn al geruime tijd bekend, wat ook geldt voor aanvalscode. Daardoor kan vanaf een enkele laptop een webserver worden platgelegd. Microsoft bracht op 30 december een noodpatch uit, terwijl Apache op 28 december en 17 januari, CentOS op 11 januari, Fedora op 11 januari en ook PHP op 11 januari volgden.

Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt.

Update: titel aangepast, aanvallen zijn voor zover bekend nog niet actief waargenomen

Microsoft geeft XP-gebruikers nog 800 dagen

Rootkit infecteert pc via Windows Media Player

Reacties (4)

28-01-2012, 19:28 door Anoniem

"DigiD offline wegens hash collision-aanval"

Zou het niet moeten zijn "DigiD offline wegens hash collision-kwetsbaarheid" ? Of heeft iemand m.b.v. deze vulnerability een daadwerkelijke aanval uitgevoerd ?

[admin] Titel is aangepast [/admin]

30-01-2012, 10:07 door N4ppy

"Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt. "

Kan me voorstellen dat je voor zoiets als DigiD wel een maandje aan het tetsen bent. Dat wordt overal en nergens gebruikt dat het niet in 2 uurtjes te testen is.

30-01-2012, 10:27 door Anoniem

Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt.

Makkelijk, ze sturen een header Server: Apache mee, en de website draait op het Typo3 CMS, wat draait op een PHP / MySQL / Apache combinatie.

30-01-2012, 13:11 door Anoniem

er is software beschikbaar www.secunia.com waarmee je security patches voor non-MS applicaties kunt doorsturen via WSUS/SCCM. Dit was 100% onnodig en ik had DigD zelfs al een email gestuurd hierover.

Info voor de hackers: als ik 100 bedrijven bel zijn er misschien 5 op een fatsoenlijke manier aan het 'patchen'. FAQ vanuit de IT Mngt: ''wat is patch mngt?'' en vervolgens: ''Oh ja dat doen we want we hebben WSUS''.

Als je weet dat MS ongeveer 50% van een bedrijfsnetwerk vertegenwoordigt, betekent dit dat 50% van de applicaties (structureel!!!!!!!!!!!!!!!!!!!) niet en/of te laat worden gepatched..!!!

How to exploit a vulnerability (hoe omzeilt malware iedere AV en Firewall - ook 'next gen'):
http://www.sans.org/top-cyber-security-risks/tutorial.php

Werkloos zijn was nog nooit zo interessant..

Voor advies/hulp: www.secunia.com

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer