image

Certified Secure ontdekt kwetsbaarheid in PolarSSL

maandag 19 januari 2015, 16:27 door Redactie, 7 reacties
Laatst bijgewerkt: 19-01-2015, 17:33

Certified Secure heeft een kwetsbaarheid in PolarSSL ontdekt waardoor het in bepaalde gevallen mogelijk is om op systemen willekeurige code of een Denial of Service-aanval uit te voeren. PolarSSL wordt door verschillende programma's voor SSL/TLS en andere cryptografische toepassingen gebruikt, waaronder het door de AIVD goedgekeurde OpenVPN-NL. Het nu ontdekte probleem wordt veroorzaakt door de manier waarop PolarSSL zogeheten X.509-certificaten verwerkt. Dit zijn certificaten die onder andere worden gebruikt voor het authenticeren van gebruikers.

Op het moment dat een server die van PolarSSL gebruik maakt een kwaadaardig certificaat verwerkt kan de aanval worden uitgevoerd. Dit gebeurt bijvoorbeeld als een server is geconfigureerd om client-certificaten te controleren. De aanvaller hoeft in dit geval niet over een geldig certificaat of inloggegevens te beschikken, het aanbieden van een kwaadaardig certificaat aan de server volstaat. Naast de aanval op servers is het ook mogelijk om gebruikers aan te vallen als die met een kwaadaardige server verbinding maken die PolarSSL gebruikt. Ook in dit geval kan er in bepaalde omstandigheden willekeurige code op de computer van de gebruiker worden uitgevoerd of een Denial of Service worden veroorzaakt.

PolarSSL is een alternatief voor het populaire OpenSSL en is onder andere bekend omdat het door OpenVPN-NL wordt gebruikt. Dit is een aangepaste versie van het opensourceprogramma OpenVPN dat de AIVD heeft goedgekeurd voor overheidsgebruik op Departementaal Vertrouwelijk niveau. Via een VPN (Virtual Private Network) is het mogelijk om een beveiligde verbinding naar een afgesloten netwerk op te zetten.

De kwetsbaarheid werd op 14 januari aan PolarSSL gemeld en vijf dagen later op 19 januari verholpen. Het beveiligingslek is bevestigd in alle PolarSSL-versies vanaf versie 1.0. Beheerders en gebruikers krijgen het advies om de patch van PolarSSL te installeren. Tevens is er een nieuwe versie van OpenVPN-NL beschikbaar gemaakt. Meer details zijn in de advisory van Certified Secure te vinden.

Update

Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft vanwege het PolarSSL-lek een beveiligingsadvies voor OpenVPN-NL uitgebracht.

Reacties (7)
19-01-2015, 17:41 door [Account Verwijderd]
[Verwijderd]
20-01-2015, 08:21 door Anoniem
Goed bezig Certified Secure ^_^
20-01-2015, 10:26 door Anoniem
Door Anoniem: Goed bezig Certified Secure ^_^

precies wat ik dacht.
20-01-2015, 16:35 door Profeet
Kudos
20-01-2015, 18:58 door Anoniem
Uitgebracht door Fox-it en audit door aivd.
Aardig wat mensen die zich moeten schamen dus.
21-01-2015, 11:06 door Anoniem
Door Anoniem: Uitgebracht door Fox-it en audit door aivd.
Aardig wat mensen die zich moeten schamen dus.

Even wat nuancering.

Goedgekeurd betekend niet geaudit. Dat Fox-IT een aangepaste versie uitbrengt (openssl vervangen voor polarssl), betekend niet dat zij ook de source code compleet hebben doorgespit. De aangepaste versie dwingt strengere en 'veiligere' protocollen af en voldoet aan een aantal richtlijnen, meer niet. Zie deze pagina voor meer informatie daarover: https://openvpn.fox-it.com/background.html.

PolarSSL was zelf, volgens hun, ook al op de hoogte van de fout (staat in de advisory):
Feedback received from PolarSSL on 14-01-2015: Upon receiving our advisory PolarSSL indicated they have independently found the same vulnerability during an internal audit process. A patch for this vulnerability will be released on 19-01-2015, see the official PolarSSL advisory.

Daarnaast is de impact van deze bug vrij klein te noemen.
29-01-2015, 11:45 door Anoniem
Ik mag toch hopen dat als BiZa wat goedkeurt, dat ze het dan vooraf geaudit hebben - anders heeft die goedkeuring niet zo heel veel waarde tenslotte.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.