De DigiD-systemen gaan binnenkort zes uur offline wegens het verhelpen van een hash collision kwetsbaarheid, maar welke wil overheidsinstantie Logius niet zeggen. Gisterenmiddag verstuurde Logius, dat onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is en producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging levert, onderstaande e-mail. Daarin wordt gewezen op een upgrade die op 6 februari tussen 0:00 en 06:00 uur zal plaatsvinden. De upgrade moet een kwetsbaarheid op de webserver voorkomen waardoor een denial of service-aanval is uit te voeren. Logius zou door het net opgerichte Nationaal Cyber Security Center (NCSC) hiervoor zijn gewaarschuwd.
Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt. Wel kan hij bevestigen dat het een hash collision kwetsbaarheid betreft. "Na zorgvuldige afweging wil Logius conform planning en na een testtraject de upgrade doorvoeren. Er is op dit moment na zorgvuldige analyse geen aanleiding gevonden om hiervan af te wijken en de upgrade moet vooral gezien worden als voorzorgsmaatregel", aldus woordvoerder Michiel Groeneveld.
Advies
Het NCSC geeft op de eigen website twee beveiligingsadviezen over "hash collision" kwetsbaarheden. De eerste dateert van 17 januari en betreft twee kwetsbaarheden in Apache Tomcat. De tweede waarschuwing is voor een hash collision kwetsbaarheid die in verschillende website ontwikkelplatformen is gevonden. De eerste versie van dit document dateert van 11 januari. Inmiddels zijn er elf nieuwe versies verschenen, waarvan de laatste gisteren uitkwam.
Patch
Updates voor de door het NCSC genoemde hash collision kwetsbaarheden zijn al geruime tijd bekend, wat ook geldt voor aanvalscode. Daardoor kan vanaf een enkele laptop een webserver worden platgelegd. Microsoft bracht op 30 december een noodpatch uit, terwijl Apache op 28 december en 17 januari, CentOS op 11 januari, Fedora op 11 januari en ook PHP op 11 januari volgden.
Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt.
Update: titel aangepast, aanvallen zijn voor zover bekend nog niet actief waargenomen
Deze posting is gelocked. Reageren is niet meer mogelijk.