Er zijn nieuwe versies van OpenSSL verschenen waarin acht beveiligingslekken zijn verholpen. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden.
De nu verholpen kwetsbaarheden zijn veel minder ernstig van aard. Twee lekken zijn als "gemiddeld" aangeduid, terwijl de overige zes problemen als "laag" worden bestempeld. Via de twee gemiddelde kwetsbaarheden kon een aanvaller een Denial of Service veroorzaken. Ook was het mogelijk om een OpenSSL-server een DH clientcertificaat zonder verificatie te laten accepteren en zou een aanvaller in bepaalde gevallen forward secrecy kunnen uitschakelen.
Forward secrecy zorgt ervoor dat er voor elke sessie met een gebruiker een aparte sleutel wordt gegenereerd en na het aflopen van de sessie weer wordt verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers.
Verder bleek dat het mogelijk was voor een aanvaller om in bepaalde gevallen de veiligheid van de versleutelde verbinding te downgraden en was het mogelijk om de vingerafdruk van een certificaat aan te passen. Gebruikers krijgen het advies om naar één van de drie nieuwe versies te upgraden, afhankelijk van welke versie er al is geïnstalleerd. De meest recente versies zijn nu OpenSSL 1.0.1k, 1.0.0p en 0.9.8zd.
Deze posting is gelocked. Reageren is niet meer mogelijk.