image

OpenSSL verhelpt lekken, voegt Logjam-bescherming toe

vrijdag 12 juni 2015, 11:25 door Redactie, 4 reacties

De makers van OpenSSL hebben een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden verhelpt en bescherming tegen de Logjam-aanval toevoegt. Via Logjam kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen.

Om TLS-clients tegen Logjam-aanvallen te beschermen zal OpenSSL nu handshakes weigeren die korter dan 768 bits zijn. In de toekomst zal dit verder worden verhoogd naar 1024-bits. Verder zijn zes kwetsbaarheden in OpenSSL verholpen waardoor een aanvaller onder andere geheugencorruptie en Denial of Service-aanvallen kon veroorzaken. Gebruikers krijgen het advies om naar versie 1.0.2b, 1.0.1n, 1.0.0s of 0.9.8zg te upgraden, afhankelijk van welke versie erop het systeem is geïnstalleerd. De Logjam-bescerming is alleen aan versies 1.0.2b en 1.0.1n toegevoegd.

Reacties (4)
12-06-2015, 12:11 door [Account Verwijderd]
[Verwijderd]
12-06-2015, 15:02 door Anoniem
Om TLS-clients tegen Logjam-aanvallen te beschermen zal OpenSSL nu handshakes weigeren die korter dan 768 bits zijn
WTF is dat nou voor fix!?

Uit https://weakdh.org/:
We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime.
12-06-2015, 16:04 door Anoniem
helaas, fedora is nog niet zover
12-06-2015, 22:23 door Anoniem
En LibreSSL was weer 'ns "not vulnerable"
https://en.wikipedia.org/wiki/LibreSSL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.