image

OpenSSL-lek kan denial of service veroorzaken

donderdag 10 november 2016, 16:32 door Redactie, 4 reacties

Er is een nieuwe versie van OpenSSL 1.1.0 uitgekomen die drie kwetsbaarheden verhelpt waardoor een aanvaller in het ergste geval OpenSSL kan laten crashen. Het gaat om https-servers die de CHACHA20-POLY1305-encryptie-algoritmes voor versleutelde verbindingen gebruiken.

Een aanvaller kan deze servers aanvallen en een heap-buffer-overflow veroorzaken, waardoor OpenSSL kan crashen. Dit kan weer gevolgen hebben voor bijvoorbeeld de applicatie of website die er gebruik van maakt. Het probleem speelt alleen in OpenSSL 1.1.0. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar. Het beveiligingslek is als "high" bestempeld. In deze gevallen komt het OpenSSL Project Team altijd met een nieuwe versie. De overige twee kwetsbaarheden hebben het stempel "moderate" en "low" gekregen.

Beheerders die OpenSSL 1.1.0 op hun servers draaien krijgen het advies naar OpenSSL 1.1.0c te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

Reacties (4)
10-11-2016, 18:18 door Anoniem
Het is niet voor niets OPENssl. Je kijkt er niet eens van op, dat zo'n core applicatie, zoveel fouten bevat.

Het probleem speelt alleen in OpenSSL 1.1.0. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar.
Ofwel is het een vrij moderne bug. Lang leven opensource, immers alle fouten kunnen gezien worden, duurt alleen altijd even......
10-11-2016, 19:53 door karma4
OpenSSL heeft een financiële uitdaging met de oss benadering. Degenen die er het meeste van profiteren zijn de grote commerciële partijen die bulken van het geld dit bundelen met hun services diensten en paketten.
Het zou die partijen verplicht moeten worden een gezonde afdracht te doen als het niet onder copyright valt dan ond er continuiteitsverzekering ofwel support garantie.
11-11-2016, 11:42 door Anoniem
Door Anoniem: Het is niet voor niets OPENssl. Je kijkt er niet eens van op, dat zo'n core applicatie, zoveel fouten bevat.

Het probleem speelt alleen in OpenSSL 1.1.0. OpenSSL-versies voor 1.1.0 zijn niet kwetsbaar.
Ofwel is het een vrij moderne bug. Lang leven opensource, immers alle fouten kunnen gezien worden, duurt alleen altijd even......

Ja, ik ben blij dat het maar even duurt en niet lang, zoals in sommige omgevingen.

Peter
12-11-2016, 06:01 door dnmvisser
Er is op dit moment geen enkele distro die OpenSSL 1.1 aan boord heeft.
Als je dit draait heb je dus actief moeite gedaan om het aan de praat te krijgen.
Het is niet triviaal om OpenSSL op een server te vervangen aangezien ongeveer alles hiertegen gelinkt is.
Degenen die het op een productie omgeving draaien hebben hier een reden voor, en zijn waarschijnlijk pro's die weten wat ze doen.
Dus alles bij elkaar een heel klein risico.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.