Certified Secure heeft een kwetsbaarheid in PolarSSL ontdekt waardoor het in bepaalde gevallen mogelijk is om op systemen willekeurige code of een Denial of Service-aanval uit te voeren. PolarSSL wordt door verschillende programma's voor SSL/TLS en andere cryptografische toepassingen gebruikt, waaronder het door de AIVD goedgekeurde OpenVPN-NL. Het nu ontdekte probleem wordt veroorzaakt door de manier waarop PolarSSL zogeheten X.509-certificaten verwerkt. Dit zijn certificaten die onder andere worden gebruikt voor het authenticeren van gebruikers.
Op het moment dat een server die van PolarSSL gebruik maakt een kwaadaardig certificaat verwerkt kan de aanval worden uitgevoerd. Dit gebeurt bijvoorbeeld als een server is geconfigureerd om client-certificaten te controleren. De aanvaller hoeft in dit geval niet over een geldig certificaat of inloggegevens te beschikken, het aanbieden van een kwaadaardig certificaat aan de server volstaat. Naast de aanval op servers is het ook mogelijk om gebruikers aan te vallen als die met een kwaadaardige server verbinding maken die PolarSSL gebruikt. Ook in dit geval kan er in bepaalde omstandigheden willekeurige code op de computer van de gebruiker worden uitgevoerd of een Denial of Service worden veroorzaakt.
PolarSSL is een alternatief voor het populaire OpenSSL en is onder andere bekend omdat het door OpenVPN-NL wordt gebruikt. Dit is een aangepaste versie van het opensourceprogramma OpenVPN dat de AIVD heeft goedgekeurd voor overheidsgebruik op Departementaal Vertrouwelijk niveau. Via een VPN (Virtual Private Network) is het mogelijk om een beveiligde verbinding naar een afgesloten netwerk op te zetten.
De kwetsbaarheid werd op 14 januari aan PolarSSL gemeld en vijf dagen later op 19 januari verholpen. Het beveiligingslek is bevestigd in alle PolarSSL-versies vanaf versie 1.0. Beheerders en gebruikers krijgen het advies om de patch van PolarSSL te installeren. Tevens is er een nieuwe versie van OpenVPN-NL beschikbaar gemaakt. Meer details zijn in de advisory van Certified Secure te vinden.
Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft vanwege het PolarSSL-lek een beveiligingsadvies voor OpenVPN-NL uitgebracht.
Deze posting is gelocked. Reageren is niet meer mogelijk.