image

OpenSSL verschuift release beveiligingsupdates naar 3 mei

dinsdag 26 april 2022, 16:17 door Redactie, 11 reacties

OpenSSL zou vandaag met beveiligingsupdates komen, maar de ontwikkelaars hebben besloten dit te verschuiven naar dinsdag 3 mei. Een reden is niet gegeven. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.

Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. Vandaag zou OpenSSL met beveiligingsupdates komen voor één of meerdere kwetsbaarheden met een maximale impact van "Moderate". Het gaat dan om problemen als crashes in client-applicaties, kwetsbaarheden in minder populaire protocollen en lokale kwetsbaarheden.

Dergelijke kwetsbaarheden worden meestal privé gehouden en in een volgende geplande release verholpen. Daarbij probeert OpenSSL meerdere kwetsbaarheden met deze impact tegelijkertijd te verhelpen. Voor kritieke beveiligingslekken komt OpenSSL wel met een aparte update. Matt Caswell van het OpenSSL Project Team laat vandaag op de mailinglist van OpenSSL weten dat besloten is om de release van OpenSSL 3.0.3 en 1.1.1o te verschuiven naar dinsdag 3 mei.

Reacties (11)
26-04-2022, 16:32 door gradje71
Als er één Open Source applicatie is dat zijn werk goed gedaan heeft, dan is het wel OpenSSL. De Google jongens die hebben de code echt geholpen, het is nu goed leesbaar en je kan de code nu ook goed begrijpen. Dus echt prima werk daar. En met versie 3.0 hebben ze eindelijk ook de licentie onzin helemaal geupdate.
26-04-2022, 21:41 door Anoniem
OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.
27-04-2022, 10:48 door Anoniem
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.
Niks rampzaligs aan. Het patchen in die industrie is rampzalig omdat ze daar niet over nagedacht hebben.
27-04-2022, 11:57 door DLans
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.

Mag ik vragen waar je deze security advisories vind (heb interesse om me in te lezen) en welke producten dit veelal betreft?
27-04-2022, 12:58 door Anoniem
Door DLans:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.

Mag ik vragen waar je deze security advisories vind (heb interesse om me in te lezen) en welke producten dit veelal betreft?
Kijk eens op
https://cert-portal.siemens.com/productcert/html/ssa-244969.html
https://www.meinbergglobal.com/english/sw/mbgsecurityadvisory.htm#mbgsa_542
https://cert.vde.com/de/advisories/VDE-2021-025/

om maar eens wat te noemen
27-04-2022, 13:00 door Anoniem
Door Anoniem:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.
Niks rampzaligs aan. Het patchen in die industrie is rampzalig omdat ze daar niet over nagedacht hebben.

Leg eens uit waarom, en welke oplossingen kun je aandragen om het beter te kunnen? We hebben niets aan luitjes die claimen dat het allemaal niet kan, brullen vanaf de zijlijn, maar ook geen oplossing hebben of kunnen bedenken
27-04-2022, 13:49 door Anoniem
Door DLans:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.

Mag ik vragen waar je deze security advisories vind (heb interesse om me in te lezen) en welke producten dit veelal betreft?
producten? bv. https://www.microsoft.com/en-us/download/details.aspx?id=54055 https://docs.microsoft.com/en-us/azure/iot-hub/tutorial-x509-self-sign Het is wel geen openssl maar tot mijn verbazing zag ik ook openssh: https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse
Goed bezig Microsoft
27-04-2022, 23:31 door Anoniem
Door gradje71: Als er één Open Source applicatie is dat zijn werk goed gedaan heeft, dan is het wel OpenSSL. De Google jongens die hebben de code echt geholpen, het is nu goed leesbaar en je kan de code nu ook goed begrijpen. Dus echt prima werk daar. En met versie 3.0 hebben ze eindelijk ook de licentie onzin helemaal geupdate.

Zeg alsjeblieft dat je dit ironisch bedoelt...
28-04-2022, 08:32 door gradje71
Door Anoniem:
Door Anoniem:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.
Niks rampzaligs aan. Het patchen in die industrie is rampzalig omdat ze daar niet over nagedacht hebben.

Leg eens uit waarom, en welke oplossingen kun je aandragen om het beter te kunnen? We hebben niets aan luitjes die claimen dat het allemaal niet kan, brullen vanaf de zijlijn, maar ook geen oplossing hebben of kunnen bedenken

LibreSSL bv dat is een goede, maar er zijn er nog meer.
28-04-2022, 08:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.
Niks rampzaligs aan. Het patchen in die industrie is rampzalig omdat ze daar niet over nagedacht hebben.

Leg eens uit waarom, en welke oplossingen kun je aandragen om het beter te kunnen? We hebben niets aan luitjes die claimen dat het allemaal niet kan, brullen vanaf de zijlijn, maar ook geen oplossing hebben of kunnen bedenken
En wat heb jij gedaan om OpenSSL te verbeteren, behalve roepen 'dat het een ramp is'?
28-04-2022, 16:04 door DLans
Door Anoniem:
Door DLans:
Door Anoniem: OpenSSL is een ramp voor alle gebruikers. Krijg zowat elke maand advisories van SIemens en diverse andere industriele leveranciers, die dit gebruiken in hun eigen producten. En dat zijn er nogal wat, niet ongebruikelijk dat er zo'n 100-tal producten in staan (in alle varianten bij elkaar).. Alles moet dus weer geupdate worden. En een paar maanden later herhaalt zich dit. En je weet, patchen in een OT-omgeving is niet makkelijk.

Mag ik vragen waar je deze security advisories vind (heb interesse om me in te lezen) en welke producten dit veelal betreft?
Kijk eens op
https://cert-portal.siemens.com/productcert/html/ssa-244969.html
https://www.meinbergglobal.com/english/sw/mbgsecurityadvisory.htm#mbgsa_542
https://cert.vde.com/de/advisories/VDE-2021-025/

om maar eens wat te noemen

Bedankt! Zeker die eerste heb ik gemist, toch maar eens kijken hoe we beter zicht kunnen houden op dit soort zaken. Zo staat bijvoorbeeld de 1200 series PLC erop die wij ook ergens gebruiken ..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.