image

OpenSSL kondigt update voor beveiligingslek aan

dinsdag 7 juli 2015, 10:26 door Redactie, 11 reacties
Laatst bijgewerkt: 08-07-2015, 07:12

De ontwikkelaars van OpenSSL hebben een update aangekondigd die een beveiligingslek in versies 1.0.2c en 1.0.1o van de software zal verhelpen. Versies 1.0.0 of 0.9.8 zijn niet kwetsbaar. Het lek is geclassificeerd als "high", wat het hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.

Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. De update naar 1.0.2d en 1.0.1p is vanaf donderdag 9 juli beschikbaar.

Reacties (11)
07-07-2015, 10:59 door Anoniem
Zo moe van die prutsers. Publiceer nou gewoon die gaten, en ga niet eindeloos aandacht zitten trekken met vooraankondigingen. Het is al zooitje genoeg daar.
07-07-2015, 12:39 door Anoniem
Door Anoniem: Zo moe van die prutsers. Publiceer nou gewoon die gaten, en ga niet eindeloos aandacht zitten trekken met vooraankondigingen. Het is al zooitje genoeg daar.

Het is niet meer dan normaal dat ze het niet publiceren, doet de rest ook niet. Je gaat toch niet roepen welke zwakheden er in je software zijn als je dit nog niet hebt opgelost. De vooraankondigingen geven mensen de tijd om bijvoorbeeld al eventuele RFC's (Request for Change) voor te bereiden zodat je dit snel kan doorvoeren in productie als de nieuwe versie beschikbaar wordt gesteld.
07-07-2015, 13:23 door Anoniem
Ben heel benieuwd hoeveel van de aankomende lekken (of lek) weer preventief gefixt blijken te zijn in LibreSSL, net zoals bij de vorige updates.
07-07-2015, 13:52 door Anoniem
Door Anoniem: Zo moe van die prutsers. Publiceer nou gewoon die gaten, en ga niet eindeloos aandacht zitten trekken met vooraankondigingen. Het is al zooitje genoeg daar.
Horen we daar een vrijwilliger? Geef ze het maar te doen, dergelijke code onderhouden...
07-07-2015, 14:28 door Anoniem
Iemand ooit de code van OpenSSL bekeken; dit staat stampus vol (lees: duizenden instanties) met Buffer Overflows en potentiele RCE ... zal ook echt niet de laatste patch zijn :(
07-07-2015, 16:09 door Erik van Straten
Door Anoniem: Iemand ooit de code van OpenSSL bekeken; dit staat stampus vol (lees: duizenden instanties) met Buffer Overflows en potentiele RCE ... zal ook echt niet de laatste patch zijn :(
Helaas inderdaad.

Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
07-07-2015, 17:34 door Anoniem
Door Erik van Straten:
Door Anoniem: Iemand ooit de code van OpenSSL bekeken; dit staat stampus vol (lees: duizenden instanties) met Buffer Overflows en potentiele RCE ... zal ook echt niet de laatste patch zijn :(
Helaas inderdaad.

Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.

+1 ,goed opgemerkt!
Daarnaast hebben libressl en polarssl ook al wat mooie findings aan hun broek hangen (as in: niet 100% veilig)
Als LibreSSL en PolarSSL default gebruikt wordt door vendors ipv OpenSSL, dan ben ik erg benieuwd hoe snel de CVE's zullen oplopen voor deze producten:

PolarSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-12001/product_id-22470/Polarssl-Polarssl.html
LibreSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-97/product_id-30688/year-2014/opdos-1/Openbsd-Libressl.html

Dit zouden dan, vermoedelijk, er veel meer gaan worden.
Toegegeven, van scratch beginnen geeft je wel de kans om met een nieuwe start betere code te maken maar om te zeggen dat OpenSSL enorm ruk is en de alternatieven beter, dat moet zich eerst bewijzen denk ik.
Eerst maar zien welke vendor behalve OpenBSD default LibreSSL of PolarSSL gaat bundelen met zijn packages en dan kijken we wel verder ;)
07-07-2015, 19:17 door wica128
Door Anoniem: Zo moe van die prutsers. Publiceer nou gewoon die gaten, en ga niet eindeloos aandacht zitten trekken met vooraankondigingen. Het is al zooitje genoeg daar.

Helemaal mee eens, appart he, dat ze weten wanneer de fix er is.
Die fix is er namelijk al, alleen de grotere bedrijven moeten eerst de kans krijgen om hun spul te patchen, voor dat de andere gebruikers het mogen. De ironie hierin is eigelijk, dat de meeste van deze bedrijven jaren lang niets aan openssl hebben bij gedragen of naar mijn persoonlijke mening niet voldoende, als wij naar de code kijken.
08-07-2015, 09:19 door Anoniem
Door Erik van Straten:
Door Anoniem: Iemand ooit de code van OpenSSL bekeken; dit staat stampus vol (lees: duizenden instanties) met Buffer Overflows en potentiele RCE ... zal ook echt niet de laatste patch zijn :(
Helaas inderdaad.

Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.

Er is een security audit voor OpenSSL bezig geloof ik: https://cryptoservices.github.io/openssl/2015/03/09/openssl-audit.html
08-07-2015, 18:13 door Anoniem
LibreSSL lijkt niet vatbaar voor het gat wat morgen gepubliceerd gaat worden.

Van de libressl mailing list een message van Brent Cook, de libressl portable maintainer:

On Wed, Jul 8, 2015 at 8:25 AM, <countrygeek@safe-mail.net> wrote:
> Hello,
> I wasn't able to find any information on the specifics of the bug, but it's been sensationalized in the news:
> http://www.v3.co.uk/v3-uk/news/2416659/heartbleed-fears-raised-with-incoming-openssl-bug-fix
>
> Just wondering if LibreSSL is already aware of this and (hopefully) immune to it.
>

To our knowledge, LibreSSL is not affected by the new OpenSSL bug.
22-07-2015, 14:15 door Newbee
Hallo,

Weten jullie of de release van 9 juli vulnerable zijn voor Citrix Netscaler en Citrix Xenapp?
En wat de gevolgen zijn voor Windows inclusief IIS?
Alvast bedankt voor jullie feedback!

Gr,
Newbee
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.