Overheidsinstantie Logius gaat de serveromgeving van DigiD upgraden, omdat die kwetsbaar voor denial of service-aanvallen is, zo laat het via e-mail weten. De kwetsbaarheid werd door het recent opgerichte Nationaal Cyber Security Center (NCSC) ontdekt en zou in verschillende producten van Logius aanwezig zijn, waaronder DigiD. Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, levert producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging.
Vanwege de upgrade zal er maandagochtend van 0.00 tot 6.00 uur onderhoud plaatsvinden. Om wat voor kwetsbaarheid het gaat en welke software het betreft hopen we nog van Logius te horen. Ondanks herhaaldelijke pogingen was er niemand voor commentaar bereikbaar. Een woordvoerder van het NCSC laat tegenover Security.nl weten dat het inderdaad beveiligingsadviezen geeft, die ook op de website worden vermeld. Welk probleem het bij Logius betreft kon de woordvoerster niet zeggen, daarvoor werd naar Logius verwezen.
Updates
Onlangs verschenen voor verschillende platformen updates om de zogeheten hash collission Denial of Service-kwetsbaarheid te verhelpen. Via dit lek zou het mogelijk zijn om vanaf een enkele laptop webservers plat te leggen. Onder andere Microsoft bracht een update voor het probleem uit. Twee weken geleden verscheen er exploitcode online die de kwetsbaarheid misbruikt.
Op de website van het NCSC staan sinds vandaag inderdaad verschillende adviezen, onder andere de "Hash collision kwetsbaarheid gevonden in website ontwikkel platformen". Microsoft waarschuwde vorig jaar al voor dit probleem en bracht ook een noodpatch uit.
Update: reactie Logius en NCSC en screenshot toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.