De ontwikkelaars van OpenSSL, de software die massaal op internet wordt gebruikt voor het opzetten van versleutelde verbindingen, hebben een nieuwe versie uitgebracht die verschillende lekken verhelpt, waardoor aanvallers kwaadaardige code konden uitvoeren of internetverkeer konden afluisteren.
In totaal zijn er vijf kwetsbaarheden in de nieuwe OpenSSL-versies verholpen, waarvan er twee opvallen. Het gaat om een man-in-the-middle-kwetsbaarheid die op 1 mei van dit jaar aan de ontwikkelaars was gemeld, maar zou volgens de ontdekker al sinds de eerste versie van 16 jaar geleden aanwezig zijn. Door dit lek kon een aanvaller die zich tussen de aangevallen gebruiker en server plaatst het verkeer aanpassen of ontsleutelen. De aanval werkt echter alleen als zowel de client als de server kwetsbaar zijn.
Het lek is in alle OpenSSL-clients aanwezig. Servers zijn alleen kwetsbaar als ze OpenSSL 1.0.1 en 1.0.2-beta1 draaien. Beheerders van een OpenSSL-server die versies voor 1.0.1 draaien krijgen het advies om uit voorzorg toch te upgraden.
Het tweede grote probleem betreft een buffer overrun-aanval die het mogelijk maakte om willekeurige code op een kwetsbare client of server uit te voeren. Alleen applicaties die OpenSSL als een DTLS-client of server gebruiken lopen risico. Dit probleem werd op 24 april bij de ontwikkelaars gemeld. De overige drie verholpen problemen konden door een aanvaller worden gebruikt om een Denial of Service te veroorzaken. Meer informatie over kwetsbare versies is in de advisory te vinden.
Begin april van dit jaar werd de zeer ernstige Heartbleed-kwetsbaarheid in OpenSSL ontdekt. Hierdoor was het mogelijk voor een aanvaller om informatie uit het geheugen van webservers te stelen, zoals wachtwoorden en sessiecookies. De nu verholpen problemen zijn minder ernstig van aard. Om de veiligheid van OpenSSL te verbeteren besloten verschillende IT-giganten, zoals IBM, Intel, Microsoft, Google en Facebook, om OpenSSL een miljoeneninjectie te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.