image

Lek in OpenSSL maakte afluisteren verbindingen mogelijk

donderdag 5 juni 2014, 16:47 door Redactie, 13 reacties

De ontwikkelaars van OpenSSL, de software die massaal op internet wordt gebruikt voor het opzetten van versleutelde verbindingen, hebben een nieuwe versie uitgebracht die verschillende lekken verhelpt, waardoor aanvallers kwaadaardige code konden uitvoeren of internetverkeer konden afluisteren.

In totaal zijn er vijf kwetsbaarheden in de nieuwe OpenSSL-versies verholpen, waarvan er twee opvallen. Het gaat om een man-in-the-middle-kwetsbaarheid die op 1 mei van dit jaar aan de ontwikkelaars was gemeld, maar zou volgens de ontdekker al sinds de eerste versie van 16 jaar geleden aanwezig zijn. Door dit lek kon een aanvaller die zich tussen de aangevallen gebruiker en server plaatst het verkeer aanpassen of ontsleutelen. De aanval werkt echter alleen als zowel de client als de server kwetsbaar zijn.

Het lek is in alle OpenSSL-clients aanwezig. Servers zijn alleen kwetsbaar als ze OpenSSL 1.0.1 en 1.0.2-beta1 draaien. Beheerders van een OpenSSL-server die versies voor 1.0.1 draaien krijgen het advies om uit voorzorg toch te upgraden.

Buffer overrun

Het tweede grote probleem betreft een buffer overrun-aanval die het mogelijk maakte om willekeurige code op een kwetsbare client of server uit te voeren. Alleen applicaties die OpenSSL als een DTLS-client of server gebruiken lopen risico. Dit probleem werd op 24 april bij de ontwikkelaars gemeld. De overige drie verholpen problemen konden door een aanvaller worden gebruikt om een Denial of Service te veroorzaken. Meer informatie over kwetsbare versies is in de advisory te vinden.

Begin april van dit jaar werd de zeer ernstige Heartbleed-kwetsbaarheid in OpenSSL ontdekt. Hierdoor was het mogelijk voor een aanvaller om informatie uit het geheugen van webservers te stelen, zoals wachtwoorden en sessiecookies. De nu verholpen problemen zijn minder ernstig van aard. Om de veiligheid van OpenSSL te verbeteren besloten verschillende IT-giganten, zoals IBM, Intel, Microsoft, Google en Facebook, om OpenSSL een miljoeneninjectie te geven.

Reacties (13)
05-06-2014, 17:14 door Anoniem
De prangende vraag is of de private keys net als vorige keer gevaar hebben gelopen. Zo niet voldoet updaten van SSL. Zo ja? Weer lijstjes afwerken :)
05-06-2014, 17:42 door Anoniem
Wat mij dwars zit is dat ik niet weet welke websites/besturingsystemen/browsers/organisaties van dit OpenSSL gebruik maken.UPC Webmail? Gmail? Hotmail/Outlook,Facebook,Twitter,Airmiles,ING bank???? Er moet een publieke lijst komen met daarop de namen van de gebruikmakende websites,bedrijven,gemeenten/overheidsinstanties,banken etc. Zodat wij deze bedrijven voortaan kunnen mijden en/of kunnen oproepen om voortaan geen OpenSSL meer te gebruiken,maar alternatieve software die wel veilig is!
05-06-2014, 19:37 door Anoniem
Door Anoniem: Wat mij dwars zit is dat ik niet weet welke websites/besturingsystemen/browsers/organisaties van dit OpenSSL gebruik maken.UPC Webmail? Gmail? Hotmail/Outlook,Facebook,Twitter,Airmiles,ING bank???? Er moet een publieke lijst komen met daarop de namen van de gebruikmakende websites,bedrijven,gemeenten/overheidsinstanties,banken etc. Zodat wij deze bedrijven voortaan kunnen mijden en/of kunnen oproepen om voortaan geen OpenSSL meer te gebruiken,maar alternatieve software die wel veilig is!

Dan weten de exploit boys precies waar ze wezen moeten...., welke diensten er kwetsbaar zijn of wat er gedraaid wordt.

Je moet voorstellen dat niet alle kwetsbaarheden gemeld worden of openbaar zijn, bij het weggeven van welke scripts waarop draaien is het wel erg makkelijk de kwetsbaarheid toe te passen
05-06-2014, 19:54 door Anoniem
Door Anoniem: Wat mij dwars zit is dat ik niet weet welke websites/besturingsystemen/browsers/organisaties van dit OpenSSL gebruik maken.UPC Webmail? Gmail? Hotmail/Outlook,Facebook,Twitter,Airmiles,ING bank???? Er moet een publieke lijst komen met daarop de namen van de gebruikmakende websites,bedrijven,gemeenten/overheidsinstanties,banken etc. Zodat wij deze bedrijven voortaan kunnen mijden en/of kunnen oproepen om voortaan geen OpenSSL meer te gebruiken,maar alternatieve software die wel veilig is!

Ik denk dat zo'n lijst alleen meer ellende zou veroorzaken.
05-06-2014, 20:09 door Anoniem
Door Anoniem: Wat mij dwars zit is dat ik niet weet welke websites/besturingsystemen/browsers/organisaties van dit OpenSSL gebruik maken.UPC Webmail? Gmail? Hotmail/Outlook,Facebook,Twitter,Airmiles,ING bank???? Er moet een publieke lijst komen met daarop de namen van de gebruikmakende websites,bedrijven,gemeenten/overheidsinstanties,banken etc. Zodat wij deze bedrijven voortaan kunnen mijden en/of kunnen oproepen om voortaan geen OpenSSL meer te gebruiken,maar alternatieve software die wel veilig is!

En welke alternatieve software is dan wel veilig? Ze hebben allemaal hun bugs en features die eerst ontdekt moeten worden en dan hopenlijk veilig disclosed en gerepareerd worden.
05-06-2014, 21:39 door Anoniem
Tijd op OpenSSL te dumpen en over te schakelen op https://polarssl.org/.
06-06-2014, 10:03 door Anoniem
Door Anoniem: Tijd op OpenSSL te dumpen en over te schakelen op https://polarssl.org/.

En jij garandeert mij dat polarssl veiliger is dan openssl? En dat onbekende bugs/features bij het ontdekken gelijk gemeld worden? Dus jij garandeert dan ook aan je klanten dat al zijn problemen als sneeuw voor de zon verdwijnen mits hij overstapt op polarssl? Dat ga je vast niet zo heel lang volhouden denk je niet? (hoor je al die aannames hier?)

Even realistisch alle software kent bugs/features en zolang deze onder de pet blijven is dat een risico. Blind overstappen op een andere leverancier is geen enkele garantie voor veiligheid. Het enige wat jouw opmerking doet is onnodig paniek zaaien en dat zal vast je intentie niet geweest zijn maar denk in het vervolg even na voordat je iets roept.
06-06-2014, 11:48 door Anoniem
En jij garandeert mij dat polarssl veiliger is dan openssl?
Ja.
06-06-2014, 12:48 door Anoniem
Door Anoniem:
En jij garandeert mij dat polarssl veiliger is dan openssl?
Ja.

Ik ben zeker geinteresseerd in PolarSSL, wat moet ik doen naast apt-get install polarssl om te zorgen dat nginx, opensmtpd en evt andere services automatisch gebruik maken van de polarssl libraries en niet de openssl libraries?
06-06-2014, 13:40 door Anoniem
Door Anoniem:
En jij garandeert mij dat polarssl veiliger is dan openssl?
Ja.

Simpelweg ja op een reactie roepen is mij niet overtuigend genoeg.... doe mij eens een vergelijking dan? Gefundeerde beweringen in plaats van: "Maar iets roepen"
06-06-2014, 15:59 door Anoniem
Door Anoniem:
En jij garandeert mij dat polarssl veiliger is dan openssl?
Ja.
Dit slaat natuurlijk totaal nergens op. Op basis waarvan baseer je dit? Mij heb je hiermee niet overtuigd. Het is goed dat er bugs ontdekt worden in OpenSSL, hierdoor zal het alleen maar verbeteren. Het is software, zolang mensen er mee bezig zijn, zullen er altijd fouten in zitten, fouten maken is menselijk.
06-06-2014, 19:26 door Anoniem
Door Anoniem:
Ik ben zeker geinteresseerd in PolarSSL, wat moet ik doen naast apt-get install polarssl om te zorgen dat nginx, opensmtpd en evt andere services automatisch gebruik maken van de polarssl libraries en niet de openssl libraries?
Zo eenvoudig is het helaas niet. Je hebt twee opties: 1) de nginx ontwikkelaars ervan overtuigen om PolarSSL te gebruiken in plaats van OpenSSL, 2) naar een webserver overschakelen die al wel PolarSSL gebruiken. De PolarSSL website noemt er twee.


Door Anoniem:
Simpelweg ja op een reactie roepen is mij niet overtuigend genoeg.... doe mij eens een vergelijking dan? Gefundeerde beweringen in plaats van: "Maar iets roepen"
Snap ik. Ik zou zeggen: bekijk de OpenSSL code en vervolgens de PolarSSL code. Bekijk ook de OpenSSL documentatie (welke documentie...) en vervolgens de PolarSSL documentatie. Vergelijk ook deze twee maar eens:
OpenSSL 0.x: http://secunia.com/advisories/product/253/?task=statistics
OpenSSL 1.x: http://secunia.com/advisories/product/30216/?task=statistics
PolarSSL 1.x: http://secunia.com/advisories/product/40977/?task=statistics

En als je het verschil echt wil weten, schrijf dan met beide libraries maar eens een applicatie. Dan merk je het verschil pas echt.
06-06-2014, 19:32 door Anoniem
Door Anoniem:
Ik ben zeker geinteresseerd in PolarSSL, wat moet ik doen naast apt-get install polarssl om te zorgen dat nginx, opensmtpd en evt andere services automatisch gebruik maken van de polarssl libraries en niet de openssl libraries?
Probeer dit anders eens: https://github.com/Yawning/nginx-polarssl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.