OpenSSL kondigt update voor beveiligingslek aan
De ontwikkelaars van OpenSSL hebben een update aangekondigd die een beveiligingslek in versies 1.0.2c en 1.0.1o van de software zal verhelpen. Versies 1.0.0 of 0.9.8 zijn niet kwetsbaar. Het lek is geclassificeerd als "high", wat het hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.
Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden. De update naar 1.0.2d en 1.0.1p is vanaf donderdag 9 juli beschikbaar.
Het is niet meer dan normaal dat ze het niet publiceren, doet de rest ook niet. Je gaat toch niet roepen welke zwakheden er in je software zijn als je dit nog niet hebt opgelost. De vooraankondigingen geven mensen de tijd om bijvoorbeeld al eventuele RFC's (Request for Change) voor te bereiden zodat je dit snel kan doorvoeren in productie als de nieuwe versie beschikbaar wordt gesteld.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
+1 ,goed opgemerkt!
Daarnaast hebben libressl en polarssl ook al wat mooie findings aan hun broek hangen (as in: niet 100% veilig)
Als LibreSSL en PolarSSL default gebruikt wordt door vendors ipv OpenSSL, dan ben ik erg benieuwd hoe snel de CVE's zullen oplopen voor deze producten:
PolarSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-12001/product_id-22470/Polarssl-Polarssl.html
LibreSSL: http://www.cvedetails.com/vulnerability-list/vendor_id-97/product_id-30688/year-2014/opdos-1/Openbsd-Libressl.html
Dit zouden dan, vermoedelijk, er veel meer gaan worden.
Toegegeven, van scratch beginnen geeft je wel de kans om met een nieuwe start betere code te maken maar om te zeggen dat OpenSSL enorm ruk is en de alternatieven beter, dat moet zich eerst bewijzen denk ik.
Eerst maar zien welke vendor behalve OpenBSD default LibreSSL of PolarSSL gaat bundelen met zijn packages en dan kijken we wel verder ;)
Helemaal mee eens, appart he, dat ze weten wanneer de fix er is.
Die fix is er namelijk al, alleen de grotere bedrijven moeten eerst de kans krijgen om hun spul te patchen, voor dat de andere gebruikers het mogen. De ironie hierin is eigelijk, dat de meeste van deze bedrijven jaren lang niets aan openssl hebben bij gedragen of naar mijn persoonlijke mening niet voldoende, als wij naar de code kijken.
Maar qua functionaliteit heeft OpenSSL wel een reputatie opgebouwd. En bij andere stacks moet je maar afwachten wat daar voor ellende uitkomt zodra daar zo grondig naar gekeken wordt als nu bij OpenSSL; het gras aan de overkant lijkt altijd groener.
Er is een security audit voor OpenSSL bezig geloof ik: https://cryptoservices.github.io/openssl/2015/03/09/openssl-audit.html
Van de libressl mailing list een message van Brent Cook, de libressl portable maintainer:
On Wed, Jul 8, 2015 at 8:25 AM, <countrygeek@safe-mail.net> wrote:
> Hello,
> I wasn't able to find any information on the specifics of the bug, but it's been sensationalized in the news:
> http://www.v3.co.uk/v3-uk/news/2416659/heartbleed-fears-raised-with-incoming-openssl-bug-fix
>
> Just wondering if LibreSSL is already aware of this and (hopefully) immune to it.
>
To our knowledge, LibreSSL is not affected by the new OpenSSL bug.
Weten jullie of de release van 9 juli vulnerable zijn voor Citrix Netscaler en Citrix Xenapp?
En wat de gevolgen zijn voor Windows inclusief IIS?
Alvast bedankt voor jullie feedback!
Gr,
Newbee
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
