Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
openssl
09-12-2020, 16:24 door Anoniem, 11 reacties
Gaan mensen nu nog openssl bijwerken ? Een deze dagen wordt daar mee over bekend, dacht ik en er is een belangrijke update beschikbaar. Niet pacthen betekend later mogelijk een hack van je server.
Reacties (11)
Ik verwacht dat het geen server-side probleem is, want ik heb de updates geinstalleerd op een aantal Debian systemen
en het valt me op dat bijv apache niet herstart wordt. Als de libraries vervangen zijn en dit zou impact hebben op een
server dan zouden de processen die deze libraries gebruiken een restart krijgen. Dat lijkt niet gebeurd te zijn.
(ik heb het zelf maar gedaan voor het geval dat)
Ik denk dus dat het een client-side probleem is, of wellicht helemaal niks in de software maar ergens in een default
configuratie ofzo.
en het valt me op dat bijv apache niet herstart wordt. Als de libraries vervangen zijn en dit zou impact hebben op een
server dan zouden de processen die deze libraries gebruiken een restart krijgen. Dat lijkt niet gebeurd te zijn.
(ik heb het zelf maar gedaan voor het geval dat)
Ik denk dus dat het een client-side probleem is, of wellicht helemaal niks in de software maar ergens in een default
configuratie ofzo.
Ik denk dat je aan de update van gisteren refereert: https://www.openssl.org/news/secadv/20201208.txt
Zelf schat ik in dat de kans op misbruik klein is. Bovendien gaat het om een DoS aanval, niet om RCE. Ik wacht dus gewoon op de gebruikelijke (automatische) updates.
Zelf schat ik in dat de kans op misbruik klein is. Bovendien gaat het om een DoS aanval, niet om RCE. Ik wacht dus gewoon op de gebruikelijke (automatische) updates.
09-12-2020, 20:01 door
MathFox
Door Anoniem: Gaan mensen nu nog openssl bijwerken ? Een deze dagen wordt daar mee over bekend, dacht ik en er is een belangrijke update beschikbaar. Niet pacthen betekend later mogelijk een hack van je server.
Ik zie dat Debian de update al heeft; even apt draaien.DSA-4807-1: David Benjamin discovered a flaw in the GENERAL_NAME_cmp() function which could cause a NULL dereference, resulting in denial of service.
Paniek is niet nodig!DSA-4807-1 openssl -- security update
Date Reported:
08 Dec 2020
Date Reported:
08 Dec 2020
https://www.debian.org/security/2020/dsa-4807
admin@debian:~$ sudo apt list --upgradable | grep ssl
libssl1.1/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
openssl/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
admin@debian:~$ sudo apt upgrade
Ja hier is duidelijk weer een "onderzoekertje" aan het scoren geweest. Een week van te voren aankondigen dat er
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
Door Anoniem: Ja hier is duidelijk weer een "onderzoekertje" aan het scoren geweest. Een week van te voren aankondigen dat er
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
Oh leuk, een "commentatortje" die het denkt beter te weten. Availability is gewoon een onderdeel van de CIA-triade he.
Aangezien het voor sommige websites miljoenen dollars aan inkomsten kan schelen als hun site tijdelijk niet beschikbaar is zou het je niet moeten verbazen als vele bedrijven een kwetsbaarheid als dit als ' critical' zullen beschouwen.
Ik zou je aanraden nog eens goed te lezen wat deze vulnerability nou precies inhield.
Het is niet dat een willekeurige aanvaller een willekeurige server even down kon brengen ofzo.
Het is niet dat een willekeurige aanvaller een willekeurige server even down kon brengen ofzo.
11-12-2020, 16:27 door
_R0N_
libssl1.1/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
openssl/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
Leuk dat Debian weer eigen versie codes er op nahoudt.
De openssl versie is 1.1.1i, waarom niet gewoond e officiele versie aanhouden..
Door _R0N_:
libssl1.1/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
openssl/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
Leuk dat Debian weer eigen versie codes er op nahoudt.
De openssl versie is 1.1.1i, waarom niet gewoond e officiele versie aanhouden..
libssl1.1/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
openssl/stable 1.1.1d-0+deb10u4 amd64 [opwaardeerbaar van: 1.1.1d-0+deb10u3]
Leuk dat Debian weer eigen versie codes er op nahoudt.
De openssl versie is 1.1.1i, waarom niet gewoond e officiele versie aanhouden..
De meeste Linux distributies bevriezen de geinstalleerde versies van software zodra de versie van de distributie bevroren is.
Dit soort beveiligingsupdates worden dan "backported" in die versie, in dit geval kijken de Debian maintainers dus wat
openssl heeft aangepast in versie 1.1.1i om dit probleem op te lossen en brengen dezelfde wijzging aan in hun 1.1.1.d
versie en releasen die met die deb10u3 versie toevoeging. Maar de andere verschillen tussen 1.1.1.d en 1.1.1.i zitten
er dus niet in.
Dat moet je wel doen (zeker in het algemene geval) want anders kom je weer in de problemen omdat er in de nieuwe
library versie incompatible wijzigingen kunnen zitten (het bekende "deze handige functie is deprecated" wat je zo vaak
tegenkomt) en dan zou dus voor zo'n update ALLE andere software die op het systeem staat en die gelinked is tegen
openssl moeten worden onderzocht op compatibiliteit met die 1.1.1i versie, en eventueel OOK worden geupdate.
Dat is niet te doen.
11-12-2020, 16:55 door
MathFox
Door _R0N_:
Leuk dat Debian weer eigen versie codes er op nahoudt.
De openssl versie is 1.1.1i, waarom niet gewoond e officiele versie aanhouden..
Bij Debian stable worden security-fixes in principe toegepast op de uitgeleverde stabiele versie om instabiliteit veroorzaakt door nieuwe functionaliteit (of gewijzigde interfaces) te voorkomen.Leuk dat Debian weer eigen versie codes er op nahoudt.
De openssl versie is 1.1.1i, waarom niet gewoond e officiele versie aanhouden..
Als dat te saai voor je is biedt Debian ook unstable aan.
Door Anoniem:
Oh leuk, een "commentatortje" die het denkt beter te weten. Availability is gewoon een onderdeel van de CIA-triade he.
Aangezien het voor sommige websites miljoenen dollars aan inkomsten kan schelen als hun site tijdelijk niet beschikbaar is zou het je niet moeten verbazen als vele bedrijven een kwetsbaarheid als dit als ' critical' zullen beschouwen.
Door Anoniem: Ja hier is duidelijk weer een "onderzoekertje" aan het scoren geweest. Een week van te voren aankondigen dat er
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
een critical update aankomt met "severity High" en dan zit iedereen klaar om meteen in dat tijdvak van een paar uur
die update te installeren, blijkt het zo'n losse flodder te zijn.
Ga vooral zo door securitymensen! Je hebt even de schijnwerpers op je maar na een tijdje neemt niemand je meer
serieus als je met een critical vulnerability aan komt zetten.
Oh leuk, een "commentatortje" die het denkt beter te weten. Availability is gewoon een onderdeel van de CIA-triade he.
Aangezien het voor sommige websites miljoenen dollars aan inkomsten kan schelen als hun site tijdelijk niet beschikbaar is zou het je niet moeten verbazen als vele bedrijven een kwetsbaarheid als dit als ' critical' zullen beschouwen.
Security is wel iets meer dan de CIA triade , he.
En bovendien geef ik de persoon waar je op reageert 100% gelijk. Scare tactics!
Met als gevolg boy cried wolf situaties. En zo wordt ‘security’ weer als negatief gezien.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
