OpenSSL kondigt belangrijke patch voor kwetsbaarheden aan
Het OpenSSL Team heeft aangekondigd aanstaande donderdag 28 januari een patch beschikbaar te stellen voor twee nieuwe kwetsbaarheden. De eerste kwetsbaarheid is geclassificeerd als "high" en bevindt zich volgens het bericht alleen in de 1.0.2 versies. De tweede kwetsbaarheid is geclassificeerd als "low" en zou zich in alle OpenSSL versies bevinden.
De classificatie "high" is de een na hoogste classificatie voor kwetsbaarheden in OpenSSL, alleen "critical" is nog ernstiger.
High Severity
Op de Security Policy pagina van OpenSSL wordt een "HIGH" Severity issue als volgt omschreven: "High Severity: This includes issues that are of a lower risk than critical, perhaps due to affecting less common configurations, or which are less likely to be exploitable. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to keep the time these issues are private to a minimum; our aim would be no longer than a month where this is something under our control."
Zo snel mogelijk installeren
Het is vooralsnog gissen wat de kwetsbaarheid exact inhoud. Wel raadt Security.NL alle systeembeheerders aan om donderdag tijd vrij te maken en de patches zo snel mogelijk te installeren.
OpenSSL is een populaire SSL implementatie die wordt gebruikt in verschillende webservers en VPN oplossingen. OpenSSL kwam al eerder in het nieuws door verschillende ernstige kwetsbaarheid, waaronder de Heartbleed bug in 2014.
Mooi trots blijven. Dom geboren en niets bijgeleerd!
Het heeft namelijk niets met het Win of Mac OS te maken!
Ook jouw Mac maakt gebruik van OpenSSL.
Ook jouw Mac maakt gebruik van OpenSSL.
Ja, maar dat is een heel oude versie die voor deze bug buiten schot blijft.:
OpenSSL 0.9.8zg 14 July 2015
Alleen de "high risk' bug zit alleen in de nieuwere 1.0.2 versies.
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Nou ja "keer op keer", Maar OpenSSL wordt op zoveel plaatsen gebruikt dat de impact meteen heel groot is bij een bug.
Reden zou je zeggen om de source extra goed te bekijken maar daarmee haal niet niet alle bugs eruit. Google is naar een eigen fork overgestapt en OpenVPN doet het tegenwoordig (sinds 2.3) met PolarSSL.
Er moet echt wel iets veranderen in dat clubje denk ik.
En het probleem is er niet een van "dat clubje", het is er een van een industrie die wel massaal gebruik maakt van gratis code maar even massaal nalaat om een kleine fractie van de kosten die ze uitsparen door het niet zelf te hoeven ontwikkelen te doneren aan de clubjes die die code beheren. Gelukkig is naar aanleiding van Heartbleed het Core Infrastructure Initiative opgericht om precies daar wat aan te doen.
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En komt dat dan door steeds slechtere programmeurs of door steeds meer onzinnige features?
Nou ja "keer op keer", Maar OpenSSL wordt op zoveel plaatsen gebruikt dat de impact meteen heel groot is bij een bug.
Ik heb het niet over het aantal bugs maar over het feit dat de bugs keer op keer alleen de nieuwste versies betreffen en
de oude versies gewoon veilig blijken te zijn.
Wat is er fout aan het gaan als er nieuwe versies uitkomen die bugs bevatten terwijl er al oude versies zijn zonder die bugs?
Wat voegen die nieuwe versies toe waarom je ze zou willen hebben, en waarom gaat de kwaliteit kennelijk omlaag?
Is dat een teken dat het bergafwaarts gaat met de kwaliteit?
En men geeft er nooit naar willen kijken en opschonen.
Te veel legacy waar niemand zich aan durft te branden.
Te complex door te veel aanpassingen.
Encryptie is ook een complex iets, waardoor de kennis ook weer gelimiteerd is.
De code is gewoon buggy.
Al met al, probleem op probleem op probleem en door de grote gebruikt, is het allemaal lastig aan te passen. 1 aanpassing kan grote gevolgen hebben.
Daarom zijn er nu zoveel afsplitsingen. Als je lijkt naar de OpenBSD versie, die een fork is op de OpenSSL, maar gewoon met een harde hand door de broncode loopt. Zie je veel vreemde dingen voorbij komen. Of wel er zitten eigenlijk in de huidige versie nog veel mogelijke fouten of issues die eigenlijk opgelost zouden moeten worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
