image

OpenSSL-kwetsbaarheid maakt dos-aanval op servers en clients mogelijk

woensdag 16 maart 2022, 12:54 door Redactie, 3 reacties

De ontwikkelaars van OpenSSL hebben nieuwe versies uitgebracht waarmee een kwetsbaarheid wordt verholpen die het mogelijk maakt om denial of service (dos)-aanvallen tegen onder andere TLS-servers en -clients uit te voeren. Het beveiligingslek, aangeduid als CVE-2022-0778, bevindt zich in een functie die bij het verwerken van certificaten wordt gebruikt en kan voor een oneindige loop zorgen.

Het probleem doet zich in verschillende scenario's voor, zoals TLS-clients die servercertificaten verwerken, TLS-servers die clientcertificaten verwerken, hostingproviders die certificaten of private keys van klanten accepteren, certificaatautoriteiten die certificatieverzoeken van klanten verwerken, alsmede alle andere situaties waarbij OpenSSL wordt gebruikt voor het verwerken van ASN.1 elliptic curve parameters.

"Aangezien het verwerken van het certificaat plaatsvindt voor de verificatie van de certificaathandtekening, kan elk proces dat extern aangeleverde certificaten verwerkt aan een denial of service-aanval worden blootgesteld", aldus de ontwikkelaars. De 'infinite loop' kan zich ook voordoen bij het verwerken van speciaal geprepareerde private keys, aangezien die ook specifieke elliptic curve parameters kunnen bevatten.

De kwetsbaarheid is aanwezig in OpenSSL-versies 1.0.2, 1.1.1 en 3.0 en verholpen in versies 1.1.1n en 3.0.2. De impact van het beveiligingslek, dat door de bekende Google-onderzoeker Tavis Ormandy werd gevonden en gerapporteerd, is beoordeeld als "high". Dit het één na hoogste niveau wat OpenSSL aanhoudt. Voor beveiligingslekken die als high en critical zijn beoordeeld brengt het OpenSSL-team een nieuwe versie uit.

OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Reacties (3)
16-03-2022, 13:59 door gradje71
De Heartbleed bug kon alleen maar worden ingevoerd omdat OpenSSL op dat moment in een zeer disfunctionele opmaak van source code had. Google greep toen gelukkig in en de wijzigingen die ze daar hebben doorgevoerd die zijn niet mals. Maar OpenSSL blijft wel een enorm groot stuk software. Met versie 3.0 hebben ze bij OpenSSL ook de licenties aangepakt en dat was ook nodig.
16-03-2022, 17:16 door Anoniem
Hup daar gaan alle SSL-gebruikers de komende tijd alweer een update uitleveren (kan me voorstellen dat ze bij Siemens hier helemaal gestoord van worden, de vorige updateronde is nog niet eens klaar!)
17-03-2022, 09:09 door Anoniem
Door Anoniem: Hup daar gaan alle SSL-gebruikers de komende tijd alweer een update uitleveren (kan me voorstellen dat ze bij Siemens hier helemaal gestoord van worden, de vorige updateronde is nog niet eens klaar!)

En? wanneer onderdelen in de keten nog niet klaar zijn met de vorige update, is dat geen reden om de nieuwe update uit te stellen. Je moet altijd zo snel mogelijk de update beschikbaar stellen. Dat de partij die deze moet installeren dan (nog verder) achterloopt is geen argument.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.