OpenSSL komt vandaag met belangrijke beveiligingsupdates die een aantal kwetsbaarheden verhelpen, waaronder een beveiligingslek waardoor een aanvaller op afstand https-servers kan laten crashen en/of herstarten. Het probleem wordt veroorzaakt door een bug waardoor een aanvaller het geheugen van de server kan verbruiken, zo meldt internetgigant Akamai.

Oorspronkelijk had het OpenSSL-team aangekondigd dat de beveiligingsupdates, met versienummers 1.1.0a, 1.0.2i en 1.0.1u, rond 10:00 uur vanochtend zouden verschijnen. De updates zijn op het moment van schrijven nog altijd niet beschikbaar. Een paar minuten na het verstrijken van de genoemde tijd publiceerde Akamai echter een blogpost over de verholpen kwetsbaarheden. Exacte details worden hierin niet gegeven, behalve dat er in totaal een dozijn kwetsbaarheden zijn verholpen, waaronder een belangrijk beveiligingslek.

De belangrijke update verhelpt een kwetsbaarheid waardoor een kwaadaardige client berichten naar https-servers kan sturen die al het beschikbare geheugen kunnen verbruiken. Dit zal uiteindelijk tot een crash en/of het herstarten van de server leiden. Akamai zegt dat het inmiddels updates voor de eigen systemen heeft uitgerold en adviseert andere beheerders dit ook te doen. Zodra de OpenSSL-updates beschikbaar zijn zullen we dit melden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

Update

De updates zijn inmiddels gepubliceerd, alsmede het betreffende beveiligingsbulletin. In totaal gaat het om 14 verschillende kwetsbaarheden, waarvan er één zoals aangekondigd als "high" is bestempeld. Zoals Akamai aangaf betreft het een denial of service-kwetsbaarheid die in de standaardconfiguratie aanwezig is. OpenSSL-versies voor 1.0.1g zijn in de standaardconfiguratie niet kwetsbaar. Een ander probleem dat als "moderate" is geclassificeerd kan ook voor een denial of service worden gebruikt. De resterende 12 kwetsbaarheden hebben de allerlaagste beoordeling van "low" en hun impact is dan ook veel kleiner. In tegenstelling tot wat Akamai aankondigde gaat het niet om http- maar https-servers.