OpenSSL kondigt update voor beveiligingslek aan
De ontwikkelaars van OpenSSL hebben een update aangekondigd die een beveiligingslek in versies 1.0.2c en 1.0.1o van de software zal verhelpen. Versies 1.0.0 of 0.9.8 zijn niet kwetsbaar. Het lek is geclassificeerd als "high", wat het hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.
Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. De update naar 1.0.2d en 1.0.1p is vanaf donderdag 9 juli beschikbaar.
Het is niet meer dan normaal dat ze het niet publiceren, doet de rest ook niet. Je gaat toch niet roepen welke zwakheden er in je software zijn als je dit nog niet hebt opgelost. De vooraankondigingen geven mensen de tijd om bijvoorbeeld al eventuele RFC's (Request for Change) voor te bereiden zodat je dit snel kan doorvoeren in productie als de nieuwe versie beschikbaar wordt gesteld.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
+1 ,goed opgemerkt!
Daarnaast hebben libressl en polarssl ook al wat mooie findings aan hun broek hangen (as in: niet 100% veilig)
Als LibreSSL en PolarSSL default gebruikt wordt door vendors ipv OpenSSL, dan ben ik erg benieuwd hoe snel de CVE's zullen oplopen voor deze producten:
PolarSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-12001/product_id-22470/Polarssl-Polarssl.html
LibreSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-97/product_id-30688/year-2014/opdos-1/Openbsd-Libressl.html
Dit zouden dan, vermoedelijk, er veel meer gaan worden.
Toegegeven, van scratch beginnen geeft je wel de kans om met een nieuwe start betere code te maken maar om te zeggen dat OpenSSL enorm ruk is en de alternatieven beter, dat moet zich eerst bewijzen denk ik.
Eerst maar zien welke vendor behalve OpenBSD default LibreSSL of PolarSSL gaat bundelen met zijn packages en dan kijken we wel verder ;)
Helemaal mee eens, appart he, dat ze weten wanneer de fix er is.
Die fix is er namelijk al, alleen de grotere bedrijven moeten eerst de kans krijgen om hun spul te patchen, voor dat de andere gebruikers het mogen. De ironie hierin is eigelijk, dat de meeste van deze bedrijven jaren lang niets aan openssl hebben bij gedragen of naar mijn persoonlijke mening niet voldoende, als wij naar de code kijken.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Er is een security audit voor OpenSSL bezig geloof ik: https://cryptoservices.github.io/openssl/2015/03/09/openssl-audit.html
Van de libressl mailing list een message van Brent Cook, de libressl portable maintainer:
On Wed, Jul 8, 2015 at 8:25 AM, <countrygeek@safe-mail.net> wrote:
> Hello,
> I wasn't able to find any information on the specifics of the bug, but it's been sensationalized in the news:
> http://www.v3.co.uk/v3-uk/news/2416659/heartbleed-fears-raised-with-incoming-openssl-bug-fix
>
> Just wondering if LibreSSL is already aware of this and (hopefully) immune to it.
>
To our knowledge, LibreSSL is not affected by the new OpenSSL bug.
Weten jullie of de release van 9 juli vulnerable zijn voor Citrix Netscaler en Citrix Xenapp?
En wat de gevolgen zijn voor Windows inclusief IIS?
Alvast bedankt voor jullie feedback!
Gr,
Newbee
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
