image

OpenSSL kondigt belangrijke beveiligingsupdate aan voor 24 augustus

woensdag 18 augustus 2021, 11:06 door Redactie, 8 reacties

Volgende week dinsdag 24 augustus komt OpenSSL met een belangrijke beveiligingsupdate, de tweede van dit jaar. Dat heeft het OpenSSL Project Team aangekondigd. De patch verhelpt één of meerdere kwetsbaarheden waarvan de impact als "high" is bestempeld. Zelden worden er kwetsbaarheden met een dergelijke impact in OpenSSL gevonden.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen. OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen.

Via kritieke kwetsbaarheden kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens stelen. Bij beveiligingslekken met de beoordeling high is dit ook mogelijk, maar kan het zijn dat misbruik lastiger is of alleen systemen met bepaalde configuraties raakt.

In maart van dit jaar kwam OpenSSL met een beveiligingsupdate die twee high-kwetsbaarheden verhielp. Vorig jaar werden twee OpenSSL-kwetsbaarheden verholpen waarvan de impact als high was beoordeeld. In 2018 en 2019 werden er geen kwetsbaarheden in de high-categorie ontdekt. Details over het probleem dat aanstaande dinsdag wordt gepatcht zijn nog niet openbaar. OpenSSL versie 1.1.1l verschijnt aanstaande dinsdag 24 augustus tussen 14:00 en 18:00 uur Nederlandse tijd.

Reacties (8)
18-08-2021, 11:13 door Anoniem
O krijgen we die kermis weer... iedereen zenuwachtig want "high impact" en dan blijkt het weer zo'n wassen neus te zijn
als de vorige keren, die alleen maar "high impact" is door een of ander raar klassificatiesysteem.

Voor mij zijn OpenSSL bugs alleen "high impact" als ze remote code execution mogelijk maken met een simpele
reproduceerbare sequence.
18-08-2021, 13:25 door Anoniem
Door Anoniem: O krijgen we die kermis weer... iedereen zenuwachtig want "high impact" en dan blijkt het weer zo'n wassen neus te zijn
als de vorige keren, die alleen maar "high impact" is door een of ander raar klassificatiesysteem.

Voor mij zijn OpenSSL bugs alleen "high impact" als ze remote code execution mogelijk maken met een simpele
reproduceerbare sequence.
Dat is critical maar het NCSC doet niet aan critical. Daar is een local privilege escalation net zo high als jouw voorbeeld.
18-08-2021, 13:26 door Anoniem
Moet ik nu al mijn Citrix gateways weer onmiddellijk gaan updaten?
18-08-2021, 13:57 door Anoniem
Door Anoniem: Moet ik nu al mijn Citrix gateways weer onmiddellijk gaan updaten?
Ja, Ja, en nog eens Ja.
18-08-2021, 15:35 door Anoniem
Door Anoniem:
Door Anoniem: O krijgen we die kermis weer... iedereen zenuwachtig want "high impact" en dan blijkt het weer zo'n wassen neus te zijn
als de vorige keren, die alleen maar "high impact" is door een of ander raar klassificatiesysteem.

Voor mij zijn OpenSSL bugs alleen "high impact" als ze remote code execution mogelijk maken met een simpele
reproduceerbare sequence.
Dat is critical maar het NCSC doet niet aan critical. Daar is een local privilege escalation net zo high als jouw voorbeeld.

Dat zeg ik, een raar klassificatiesysteem.
Dan hebben we straks allemaal zitten zweten en updaten en dan blijkt uiteindelijk weer dat het zo iets is van "man in the
middle kan een DoS situatie triggeren" of "client die 10 miljard connecties maakt kan wellicht een re-play doen".

Bedenk dat 99.99% van het SSL gebruik totaal onnodig is (alleen maar het gevolg van "alles moet https worden") en het
de meeste gebruikers echt niet boeit of er informatie lekt of dat iemand met 10 miljard connecties iets kan uithalen.
Impact heeft het dan helemaal niet, zelfs niet als het "high impact" heet volgens een raar klassificatiesysteem.

En wat er in ieder geval met de vorige paar keren bereikt is, dat is dat de meesten denken "ach het zal wel".
Dus als er straks echt wat mis is dan reageert iedereen ook veel trager.
18-08-2021, 17:18 door Anoniem
Door Anoniem:

Bedenk dat 99.99% van het SSL gebruik totaal onnodig is (alleen maar het gevolg van "alles moet https worden")

Dussss. Terug naar het jaar 2000 dan maar?
20-08-2021, 13:22 door Anoniem
Door Anoniem:Dat zeg ik, een raar klassificatiesysteem.
Dan hebben we straks allemaal zitten zweten en updaten en dan blijkt uiteindelijk weer dat het zo iets is van "man in the middle kan een DoS situatie triggeren" of "client die 10 miljard connecties maakt kan wellicht een re-play doen".

Ik ben het wel met je eens dat sommige klassificaties beter kunnen.. Het ding is echter, je weet inderdaad niet waarom dit wordt gemeld. Voor hetzelfde geld is het wel iets belangrijks en sta je nou om niks stampei te maken..

Bedenk dat 99.99% van het SSL gebruik totaal onnodig is (alleen maar het gevolg van "alles moet https worden") en het de meeste gebruikers echt niet boeit of er informatie lekt of dat iemand met 10 miljard connecties iets kan uithalen.
Impact heeft het dan helemaal niet, zelfs niet als het "high impact" heet volgens een raar klassificatiesysteem.

Tja. Als jij qua beveiligingsniveau terug naar het jaar kruik wil dan staat niks je in de weg, dus leef je uit; er zijn vast nog wel wat oude versies van allerlei software te vinden. Ik verwacht alleen wel dat je uiteindelijk wat hobbels tegen zult komen als je anderen tegen komt die niet naar het jaar kruik terug willen.

En wat er in ieder geval met de vorige paar keren bereikt is, dat is dat de meesten denken "ach het zal wel".
Dus als er straks echt wat mis is dan reageert iedereen ook veel trager.

Als iemand z'n kop in z'n eigen kont wil steken dan mag dat van mij; zelf heb ik dat nooit geprobeerd maar mijn verwachting is dat het er donker is. Ik kan alleen maar hopen dat mensen dat niet zullen doen en gewoon updaten wanneer dat nodig is.
24-08-2021, 16:43 door Anoniem
De advisory is uit:

https://www.openssl.org/news/openssl-1.1.1-notes.html

Fixed an SM2 Decryption Buffer Overflow (CVE-2021-3711)
Fixed various read buffer overruns processing ASN.1 strings (CVE-2021-3712)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.