Volgende week dinsdag 8 december zal er een belangrijke beveiligingsupdate voor OpenSSL verschijnen, zo heeft het OpenSSL Project Team aangekondigd. OpenSSL versie 1.1.1i zal één of meerdere kwetsbaarheden verhelpen waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden.
Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen.
Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt.
De laatste OpenSSL-kwetsbaarheid waarvan de impact als high was beoordeeld dateert van april dit jaar, wat meteen het eerste high-lek in drie jaar tijd was. Via het beveiligingslek was het mogelijk om denial of service-aanvallen tegen servers uit te voeren. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat volgende week wordt gepatcht zijn nog niet gegeven. OpenSSL versie 1.1.1i verschijnt volgende week dinsdag 8 december tussen 14:00 en 18:00 uur Nederlandse tijd.
OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.