image

Noodpatch voor ernstig beveiligingslek in OpenSSL

maandag 26 september 2016, 13:10 door Redactie, 5 reacties

De ontwikkelaars van OpenSSL hebben een noodpatch voor een ernstig beveiligingslek uitgebracht waardoor een aanvaller op afstand mogelijk willekeurige code op servers kan uitvoeren. De kwetsbaarheid werd veroorzaakt door een geplande beveiligingsupdate die afgelopen donderdag verscheen.

Het beveiligingslek is alleen aanwezig in OpenSSL 1.1.0a. Door pakketjes van meer dan 16k naar een server of systeem te sturen kan een aanvaller een crash veroorzaken. In potentie zou het echter ook mogelijk zijn om willekeurige code uit te voeren, waardoor aanvallers bijvoorbeeld een server of systeem kunnen overnemen. OpenSSL geeft alleen de grootste kwetsbaarheden de beoordeling "ernstig". Ook voor OpenSSL 1.0.2 is een update verschenen, alleen is de kwetsbaarheid in dit geval veel minder ernstig. Beheerders krijgen het advies om zo snel als mogelijk naar versies 1.1.0b of 1.0.2j te updaten.

OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. De software is op veel systemen geïnstalleerd en ernstige kwetsbaarheden kunnen dan ook grote gevolgen hebben. Twee jaar geleden werd het Heartbleed-lek in OpenSSL ontdekt, een ander ernstig lek dat uiteindelijk actief werd gebruikt om servers en systemen aan te vallen.

Reacties (5)
27-09-2016, 08:14 door Anoniem
Ik zie nog steeds geen patch.. Zo belangrijk is het dus volgensmij niet of waarom staat deze patch nog niet in de repo ..
27-09-2016, 09:06 door Anoniem
Door Anoniem: Ik zie nog steeds geen patch.. Zo belangrijk is het dus volgensmij niet of waarom staat deze patch nog niet in de repo ..
Misschien dit eens lezen?
https://www.openssl.org/news/secadv/20160926.txt
27-09-2016, 09:06 door Anoniem
Door Anoniem: Ik zie nog steeds geen patch.. Zo belangrijk is het dus volgensmij niet of waarom staat deze patch nog niet in de repo ..
OpenSSL heeft de patch wel uitgerold (gisteren), de package maintainer voor jouw distributie is alleen nog niet zover. Als die überhaupt nog niet aan 1.1.0a was toegekomen, heeft die nu ook geen reden om snel te zijn met 1.1.0b. Debian stable zit bijvoorbeeld nog op 1.0.1t (ondanks de security advisories van afgelopen donderdag).
27-09-2016, 09:10 door Anoniem
Ho dat klopte niet helemaal, Debian stable heeft in 1.0.1-t+deb8u5 wel de kwetsbaarheden van afgelopen donderdag gefixt.
28-09-2016, 10:04 door [Account Verwijderd] - Bijgewerkt: 28-09-2016, 11:17
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.