Nieuws
image

Google personeel dicht OpenSSL-lekken

donderdag 5 januari 2012, 10:47 door Redactie, 3 reacties

Er is een nieuwe versie van OpenSSL verschenen, de opensource implementatie van de SSL en TLS protocollen. OpenSSL 1.0.0f en 0.9.8s verhelpen zes beveiligingslekken, waarvan er drie door Google onderzoekers zijn ontdekt en gepatcht. Het OpenSSL project wordt volledig gerund door vrijwilligers. Veel van de problemen worden dan ook ontdekt door beveiligingsonderzoekers, die tevens zelf de oplossing ontwikkelen of dit een ander laten doen.

Lekken
Drie van de zes kwetsbaarheden werden ontdekt door Google engineer Ben Laurie. In twee gevallen maakte hij ook zelf de patch. De lekken maakten het mogelijk voor aanvallers om een Plaintext-Recovery aanval tegen de Datagram TLS implementatie van OpenSSL uit te voeren. Hierbij zou een aanvaller versleutelde informatie kunnen achterhalen.

Ook twee Denial of Service situaties, een 'padding' en een 'assertion' lek zijn verleden tijd.. Meer informatie in de advisory, updaten kan via OpenSSL.org.

Reacties (3)
05-01-2012, 11:12 door Johan S
Ben Laurie is al sinds het prille begin van OpenSSL in 1998 één van de main developers. Dat is lang voordat hij in 2010 bij Google's security team ging werken.
05-01-2012, 11:51 door N4ppy
Open werkt maar houd niet in (zoals sommige mensen soms beweren) dat er geen fouten in zitten.
05-01-2012, 12:56 door SLight
Door N4ppy: Open werkt maar houd niet in (zoals sommige mensen soms beweren) dat er geen fouten in zitten.

Maar het maakt 't wel 'makkelijker' om bugs op te sporen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure