image

OpenSSL-lek maakt webservers kwetsbaar voor dos-aanvallen

woensdag 22 april 2020, 09:49 door Redactie, 17 reacties
Laatst bijgewerkt: 22-04-2020, 11:47

Een beveiligingslek in OpenSSL maakt webservers kwetsbaar voor denial of service (dos)-aanvallen, zo waarschuwen de ontwikkelaars die een beveiligingsupdate hebben uitgebracht. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen.

Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. De kwetsbaarheid zorgt ervoor dat server- of clientapplicaties die van OpenSSL gebruikmaken en tijdens of na een TLS 1.3-handshake een specifieke functie aanroepen, door het versturen van een ongeldig handtekeningsalgoritme zijn te laten crashen. Hierdoor zou een aanvaller een remote dos-aanval op webservers kunnen uitvoeren.

De kwetsbaarheid is aanwezig in OpenSSL versie 1.1.1d, 1.1.1e en 1.1.1f en is verholpen in 1.1.1g. OpenSSL-versies 1.1.1c en ouder zijn niet kwetsbaar. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Deze kwetsbaarheid is als "high" beoordeeld, wat al meer dan drie jaar niet is voorkomen. Alle gevonden beveiligingslekken in de afgelopen drie jaar kregen het stempel low of moderate.

Reacties (17)
22-04-2020, 10:57 door Bitje-scheef
Grappig dat het dan in de a-c versie niet voorkomt maar in d-f weer wel.
22-04-2020, 12:14 door Anoniem
Door Bitje-scheef: Grappig dat het dan in de a-c versie niet voorkomt maar in d-f weer wel.
Het komt voor 1.1.1a ook niet voor, toch? De fout is gewoon door de wijzigingen in versie d geïntroduceerd (of mogelijk geactiveerd).
22-04-2020, 12:27 door Anoniem
Door Bitje-scheef: Grappig dat het dan in de a-c versie niet voorkomt maar in d-f weer wel.
Dat is niet grappig, dat geeft aan hoe treurig het er voor staat met de update caroussel.
De ene kwetsbaarheid wordt verholpen, de volgende wordt er weer ingebouwd.
22-04-2020, 13:50 door Anoniem
Ik dacht altijd dat open-source software zo cyberveilig was. Vanwege "iedereen bekijkt het en kan de fouten zien". Dat lijkt dus niet helemaal te kloppen. Hoe kan het dat zoiets als SSL zoveel bugs heeft? Als zelfs dit niet goed kan, welk vertrouwen zou ik dn nog hebben in andere code-reviews?
22-04-2020, 14:48 door Legionnaire
4 jaar geleden hebben hackers mijn intranet via mijn website, die op een server van een groot en bekend hostingbedrijf stond proberen binnen te dringen.

Het is dat ik in de Cyber Security werkzaam was en nu af en toe voor de collegezaal sta en alle benodigde hardware/software heb, dat bij het minste of geringste alles dicht gegooid wordt en een volledige scan uitvoert.

Via valse geïnfecteerde certificaten probeerden ze het. ze hebben het geweten.

Het ergste van alles dat ik een telefoontje pleegde naar het hostingbedrijf en ze daar niets in de gaten hadden totdat ze op de server keken.
Toen viel ze pas op dat er met de site gerommeld was...lekker dan.
22-04-2020, 15:08 door Anoniem
Door Legionnaire: 4 jaar geleden hebben hackers mijn intranet via mijn website, die op een server van een groot en bekend hostingbedrijf stond proberen binnen te dringen.

Het is dat ik in de Cyber Security werkzaam was en nu af en toe voor de collegezaal sta en alle benodigde hardware/software heb, dat bij het minste of geringste alles dicht gegooid wordt en een volledige scan uitvoert.

Via valse geïnfecteerde certificaten probeerden ze het. ze hebben het geweten.

Het ergste van alles dat ik een telefoontje pleegde naar het hostingbedrijf en ze daar niets in de gaten hadden totdat ze op de server keken.
Toen viel ze pas op dat er met de site gerommeld was...lekker dan.
Zij hosten toch alleen maar, jij bent toch zelf verantwoordelijk voor jouw site!
22-04-2020, 15:08 door souplost
Door Legionnaire: 4 jaar geleden hebben hackers mijn intranet via mijn website, die op een server van een groot en bekend hostingbedrijf stond proberen binnen te dringen.

Het is dat ik in de Cyber Security werkzaam was en nu af en toe voor de collegezaal sta en alle benodigde hardware/software heb, dat bij het minste of geringste alles dicht gegooid wordt en een volledige scan uitvoert.

Via valse geïnfecteerde certificaten probeerden ze het. ze hebben het geweten.

Het ergste van alles dat ik een telefoontje pleegde naar het hostingbedrijf en ze daar niets in de gaten hadden totdat ze op de server keken.
Toen viel ze pas op dat er met de site gerommeld was...lekker dan.
En je punt is?
22-04-2020, 15:25 door Legionnaire
Door souplost:
Door Legionnaire: 4 jaar geleden hebben hackers mijn intranet via mijn website, die op een server van een groot en bekend hostingbedrijf stond proberen binnen te dringen.

Het is dat ik in de Cyber Security werkzaam was en nu af en toe voor de collegezaal sta en alle benodigde hardware/software heb, dat bij het minste of geringste alles dicht gegooid wordt en een volledige scan uitvoert.

Via valse geïnfecteerde certificaten probeerden ze het. ze hebben het geweten.

Het ergste van alles dat ik een telefoontje pleegde naar het hostingbedrijf en ze daar niets in de gaten hadden totdat ze op de server keken.
Toen viel ze pas op dat er met de site gerommeld was...lekker dan.
En je punt is?

Dat je als hostingbedrijf een bak geld vraagt en niet eens je zooi op orde hebt.
22-04-2020, 16:30 door Legionnaire
Door Anoniem:
Door Legionnaire: 4 jaar geleden hebben hackers mijn intranet via mijn website, die op een server van een groot en bekend hostingbedrijf stond proberen binnen te dringen.

Het is dat ik in de Cyber Security werkzaam was en nu af en toe voor de collegezaal sta en alle benodigde hardware/software heb, dat bij het minste of geringste alles dicht gegooid wordt en een volledige scan uitvoert.

Via valse geïnfecteerde certificaten probeerden ze het. ze hebben het geweten.

Het ergste van alles dat ik een telefoontje pleegde naar het hostingbedrijf en ze daar niets in de gaten hadden totdat ze op de server keken.
Toen viel ze pas op dat er met de site gerommeld was...lekker dan.
Zij hosten toch alleen maar, jij bent toch zelf verantwoordelijk voor jouw site!

Nee, ze hebben hem ook ontworpen en in onderhoud.
Maar dan nog...zo'n groot bedrijf en niet in de gaten hebben dat hun servers gewoon gehackt worden.
Zo zie je maar weer, hoog van de toren blazen en het zijn gewoon een stelletje amateurs.
Ach ja, ik kom ze dagelijks tegen...de netwerkbeheerders van grote ondernemingen met veel gevoelige data...
Het werkt niet...word ik weer gebeld...alleen maar goed...kassa...
De laatste weken honderden VPN verbindingen geconfigureerd, de netwerkbeheerders kwamen er niet uit...
22-04-2020, 19:57 door Anoniem
Door Legionnaire:
Nee, ze hebben hem ook ontworpen en in onderhoud.
Dan kon je met jouw kennis dat ook controleren :p
22-04-2020, 21:13 door ph-cofi
Door Anoniem: Ik dacht altijd dat open-source software zo cyberveilig was. Vanwege "iedereen bekijkt het en kan de fouten zien". Dat lijkt dus niet helemaal te kloppen. Hoe kan het dat zoiets als SSL zoveel bugs heeft? Als zelfs dit niet goed kan, welk vertrouwen zou ik dn nog hebben in andere code-reviews?

Holy shit! Heb jij openssl gebruikt dan, zonder eerst te checken??
22-04-2020, 23:04 door Anoniem
Door Legionnaire:

Nee, ze hebben hem ook ontworpen en in onderhoud.
Maar dan nog...zo'n groot bedrijf en niet in de gaten hebben dat hun servers gewoon gehackt worden.
Zo zie je maar weer, hoog van de toren blazen en het zijn gewoon een stelletje amateurs.
Ach ja, ik kom ze dagelijks tegen...de netwerkbeheerders van grote ondernemingen met veel gevoelige data...
Het werkt niet...word ik weer gebeld...alleen maar goed...kassa...
De laatste weken honderden VPN verbindingen geconfigureerd, de netwerkbeheerders kwamen er niet uit...

Ik geloof niets van wat jij zegt.
Je bent expert maar hebt zelf geen maatregelen om je eigen apps in de gaten te houden want je vetrouwt er blind op dat je hoster dat doet en twee zinnen later poch je over hoeveel geld je verdient aan de hon-der-den netwerkbeheerders die er niet uit komen om een simpel VPNnetje op te zetten?

Ja vast.
23-04-2020, 00:42 door Briolet
Door Anoniem: Ik dacht altijd dat open-source software zo cyberveilig was. Vanwege "iedereen bekijkt het en kan de fouten zien". Dat lijkt dus niet helemaal te kloppen.
Of juist wel, als deze bug gevonden is door de source goed te bekijken.

Verder is het open karakter een tweesnijdend zwaard. Ook criminelen kunnen bij open source de code doorlopen om bugs te vinden die ze kunnen uitbuiten. En voor criminelen zijn de te potentieel te behalen verdiensten groter dan voor de ontwikkelaars. Het loont voor criminelen als ze er tijd in stoppen. Want één ding is zeker: in alle complexere software zitten bugs.
23-04-2020, 07:54 door Anoniem
Door Anoniem: Ik dacht altijd dat open-source software zo cyberveilig was. Vanwege "iedereen bekijkt het en kan de fouten zien". Dat lijkt dus niet helemaal te kloppen. Hoe kan het dat zoiets als SSL zoveel bugs heeft? Als zelfs dit niet goed kan, welk vertrouwen zou ik dn nog hebben in andere code-reviews?

In closed source zitten net zo goed bugs, die kunnen tenminste lekker lang misbruikt worden door criminelen en 3 letter diensten.

Als jij van mening bent daar beter mee af te zijn en daar meer vertrouwen in hebt dan moet je dat vooral blijven gebruiken.
23-04-2020, 09:09 door souplost - Bijgewerkt: 23-04-2020, 09:11
Door Anoniem: Ik dacht altijd dat open-source software zo cyberveilig was. Vanwege "iedereen bekijkt het en kan de fouten zien". Dat lijkt dus niet helemaal te kloppen. Hoe kan het dat zoiets als SSL zoveel bugs heeft? Als zelfs dit niet goed kan, welk vertrouwen zou ik dn nog hebben in andere code-reviews?
Op dit soort onnozele reacties kan je natuurlijk wachten hier op security.nl. Duidelijk bedoeld om te trollen. Dat blijkt ook wel gezien de uitgelokte reacties.
Alle gevonden beveiligingslekken in de afgelopen drie jaar kregen het stempel low of moderate en deze is gefixed voordat het bekend werd, zoals het hoort. Wat wil je nog meer? Hoe zou het beter kunnen? Misschien voorbeeldje closed source?
23-04-2020, 11:24 door Anoniem
Door Anoniem:
Door Bitje-scheef: Grappig dat het dan in de a-c versie niet voorkomt maar in d-f weer wel.
Dat is niet grappig, dat geeft aan hoe treurig het er voor staat met de update caroussel.
De ene kwetsbaarheid wordt verholpen, de volgende wordt er weer ingebouwd.
"Ingebouwd" zou duiden op kwade wil. "Veroorzaakt" is een beter woord. Vergeet voor de gein even niet dat OpenSSL op het moment bestaat uit [url=https://www.openhub.net/p/openssl]623.557 lines of code[/url], een kleine verandering kan bij dergelijke projecten per ongeluk zorgen voor fouten. Tsja, dat gebeurt, en zal blijven gebeuren, programmeren is en blijft immers mensenwerk.
23-04-2020, 15:10 door souplost
Door Anoniem:
Door Bitje-scheef: Grappig dat het dan in de a-c versie niet voorkomt maar in d-f weer wel.
Dat is niet grappig, dat geeft aan hoe treurig het er voor staat met de update caroussel.
De ene kwetsbaarheid wordt verholpen, de volgende wordt er weer ingebouwd.
Misplaatste kijk op software ontwikkeling. Misschien is dat bij windows zo maar bij openssl zeker niet, want deze kunnen we controleren en heb ik gedaan. Bij versie 1.1.1 is er een major rewrite geweest van de TLSv1.3 specificatie. Tussen c en d is ook aardig wat bijgebouwd (incl 4 opgeloste CVE's waaronder een windows build)
Het probleem is dat de signature check een NULL pointer oplevert. Deze check wordt alleen uitgevoerd op een TLS 1.3
connection. Andere versies dan 1,3 hebben er geen last van omdat deze check dan niet wordt gedaan.
Deze bug vind ik slordig programmeerwerk omdat je altijd op een nullpointer moet testen of in ieder geval een assert() moet doen. Daarom was de fix ook makkelijk: https://github.com/openssl/openssl/commit/eb563247aef3e83dda7679c43f9649270462e5b1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.