image

OpenSSL stopt ondersteuning versies 0.9.8 en 1.0.0

donderdag 3 december 2015, 17:28 door Redactie, 3 reacties

De ontwikkelaars van de softwarebibliotheek OpenSSL hebben vandaag een beveiligingsupdate uitgebracht om meerdere kwetsbaarheden in de software te verhelpen en tevens het einde van de ondersteuning van versies 0.9.8 en 1.0.0 aangekondigd.

OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De nu verschenen update verhelpt vier kwetsbaarheden, waarvan er drie als 'moderate' en één als low zijn aangemerkt. Via de kwetsbaarheden kan een aanvaller een geheugenlek of een Denial of Service veroorzaken, alsmede een bug waardoor in theorie aanvallen tegen de RSA-, DSA- en Diffie-Hellman-algoritmes mogelijk zijn.

Verder laten de ontwikkelaars weten dat versies 1.0.0t en 0.9.8zh, die vandaag zijn uitgekomen, naar alle verwachting de laatste versies van 1.0.0 en 0.9.8 zijn die zullen uitkomen. Versie 0.9.8 verscheen op 5 juli 2005, terwijl 1.0.0 op 29 maart 2010 uitkwam. Beheerders die deze versies nog gebruiken krijgen het advies om naar een nieuwere versie te upgraden.

Reacties (3)
04-12-2015, 08:18 door Anoniem
Ik snap de drang niet om hele oude software te gebruiken voor een balangrijke security laag. Ik merk vaak wel een angst om veranderingen door te voeren die heel mischien niet backwards compatible zijn. Ik zie persoonlijk geen functionele verschillen tussen de versies, updates bevatten zelden wereld schokkende veranderingen en openssl is aartsconservatief. Aan de andere kant zijn er alternatieven die compacter en veiliger zijn.
04-12-2015, 09:11 door Anoniem
Als je de oude versie was blijven gebruiken - zonder DTLS support - dan was de heartbleed bug aan je voorbijgegaan.

Maar het is niet belangrijk of je oude of nieuwe versies gebruikt, het is belangrijk dat je alle features uitschakelt die je niet gebruikt. En daar wringt de schoen met flexibiliteit.
04-12-2015, 09:26 door Briolet
Door Anoniem: Ik snap de drang niet om hele oude software te gebruiken voor een balangrijke security laag.

Dat gebeurt waarschijnlijk, omdat juist die oude versie het langst in de praktijk getest is op bugs. b.v. bij deze update zat maar 1 van de 4 security bugs in de oude 0.9.8 versie.
Verder loop je met een te snelle update naar een nieuwe versie het risico dat er nieuwe kwetsbaarheden ontstaan door incompatibiliteit met bestaande software.

Een nieuwe versie installeren wordt natuurlijk wel zinvol als er nieuwe beschermingsmaatregelen in de nieuwere versie zitten.

Ik zie dat de Mac onder El Capitan nu wel de laatste versie 1.0.2d gebruikt. Diamant was 2 jaar geleden wel heel anders. Volgens mij was dat toen ook nog 0.9.8
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.