"Zo maken tal van Cisco-apparaten en andere oplossingen gebruik van OpenSSL"

Zal vast wel. Maar OpenSSL 3.x? Dat gebruikt bijna niemand. Cisco wel?

Ja ik snap het wel dat niemand het gebruikt, met zulke issues

"Cisco en GlobalSign waarschuwen voor aankomende OpenSSL-patch"

Ze waarschuwen voor de patch dus. Is die niet goed dan?
De titel klinkt wel dubieus cq. dubbelzinnig.

"Waarschuwen om exploit te patchen" klinkt beter.

Waarom niet? Is het iets structureels?

Het is gewoon nog (te) nieuw. OpenSSL 3 is net een jaar oud en de meeste softwareleveranciers lopen meer dan een jaar achter.


Persoonlijk vind ik dat die leveranciers lui zijn. De meeste leveranciers wachten met updaten van hun onderdelen (zoals openssl) tot de definitieve stabiele versie uit komt. Die lopen dus altijd achter de feiten aan want het proces van testen en integreren van zo'n nieuwe versie duurt al snel maanden. Tegen de tijd dat je daar mee klaar bent is de volgende versie al weer uit. In de tussentijd moeten er daarom security patches worden gebackport en getest naar oude versies en dat kost ook allemaal weer tijd en moeite.

Wat die leveranciers zouden moeten doen is actief de ontwikkeling volgen van hun componenten en daar aan bij te dragen door de ontwikkelversies te testen. Zo help je de auteurs om betere onderdelen te maken en voorkom je dat je problemen pas ontdekt als de stabiele versie in je productie-omgeving komt en dan is het te laat voor grote veranderingen. Ook krijg je een beter begrip van de mogelijkheden (en beperkingen) van de onderdelen die je gebruikt. En, last but not least, het zorgt er voor dat je vooraf al weet dat jouw product compatible is met de nieuwe versie en dat die nieuwe versie betrouwbaar. Daardoor kun je je eigen product veel sneller testen en releasen.

Dat is nodig want zoals we zien is de meerderheid van de gebruikers van deze essentiele software na een jaar nog steeds niet geupgrade naar de nieuwste versie (en het gaat nog heel wat jaren duren voor dat wel zo is).

--
CAPSLOCK2000

Ik zie alleen in de meest recente distributies (die vaak nog in testfase zijn) dat er OpenSSL 3 wordt gebruikt.
Andere allemaal een 1.1.xx versie.
Ik kan me voorstellen dat er wellicht hier en daar een Linux gebruiker al met een versie 3 aan het werken is, maar dat
die versie al doorgedrongen is tot zaken als Cisco routers en andere appliances dat lijkt me sterk.

Maar goed, we gaan het zien wie er deze week met paniek updates uitkomt.

Het is een OpenSSL patch, nog geen Cisco of GlobalSign patch. Ze waarschuwen dat je die patch snel moet installeren. Zo dubbelzinnig is het niet, jij maakt het dubieus cq. dubbelzinnig.

Beetje hypocriet. Laatste kritieke update sinds 2016 ! Jouw windows heeft elke maand een kritieke update.

Inderdaad waarschuwen voor een patch is dom, alsof deze je systeem gaat vernachelen. Nu gebeurd dat wel vaker onder windows, dus wie weet is het zo. Voor andere systemen geld mooi snel patchen.

Ze waarschuwen voor een de aankomende patch, zodat je gereed bent om je omgeving te updaten met deze patch.

Niets vreemd aan.

Inderdaad, geheel normaal, het installeren van een patch in een bedrijfsomgeving is anders dan thuis een patchje installeren. Wie zo reageert zit blijkbaar nog op een opleiding en heeft nog veel te leren.

Deze reactie geeft aan dat je geen idee hebt wat het kost om zoiets in een groot bedrijf door te voeren. Nog afgezien van de backwards compatibiliteit, al je klanten zijn niet blij als zij ook nog in actie moeten komen voor een iets waar zij geen verstand van hebben, maar wel heel noodzakelijk is voor het functioneren van hun systemen. Dat kan alleen maar heel geleidelijk ingevoerd worden. Dus dat kan nog jaren duren. Ik stel me zelfs zo voor dat bestaande producten niet over gaan naar SSL3, maar dat het er alleen in nieuwe producten in komt. Dan kan er langzaam ervaring mee worden opgebouwd en het oude faseert dan langzaam uit. En misschien ook wel nooit, kijk maar eens naar SNMP3 en hoeveel SNMP1 er nog in daily use is.

Begrijpend lezen daar heb jij blijkbaar moeite mee. Het is een aankonding. Geen waarschuwing (heeft een heel andere betekenis in deze zin)
Het OpenSSL Project Team heeft aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt voor een kritieke kwetsbaarheid in OpenSSL 3.x. De patch zal tussen 14.00 en 18.00 uur verschijnen.
Dat lees toch heel anders. IK begrijp wel wat de reaguurder bedoelt.

JIj hebt zijn punt niet begrepen! Ze zijn niet alleen lui maar willen er ook geen budget in stoppen. Hij heeft uitgelegd dat het verstandiger is om in ieder geval eerder te testen. Het gaat tenslotte om gratis software die jij in je product include.

Een "exploit patchen" slaat nergens op.

Je waarschuwt voor een exploit, bijvoorbeeld omdat deze veel gebruikt wordt en en makkelijk uit te voeren.
Of je vraagt om software te patchen, bijvoorbeel omdat er een makkelijke exploit is, of omdat het om een kritieke vulnerability gaat.

Ik weet dat ook vaak de term "een vulnerability patchen" gebruikt wordt, maar eigenlijk mitigeer je een vulnerability.
Dat kan vaak door software te patchen, maar soms ook gewoon door de config aan te passen zodat de vulnerability niet meer geëxploit kan worden of het kwetsbare deel van de software niet meer gebruikt wordt.

Open source, dus bekend wat er mis is, dus exploits op komst ;)

Het gaat helemaal niet over SSL3! Dat is allang uitgefaseerd. En ook niet over TLS1.3. Of een ander protocol.
Het gaat om versie 3 van de OpenSSL bibliotheek. Die sommigen al in gebruik genomen hadden (de meesten niet).
Dat is niks waar je klanten voor in actie moeten komen. Daar ben je helemaal zelf verantwoordelijk voor.
En je mag zelf weten of je het uitrollen van de patch een formeel stroperig proces in stuurt en je binnen een dag gehacked
wordt door de vele scanners die hiervoor zullen verschijnen, of dat je het snel even installeert.

Daarom houden ze het lek nu nog prive, totdat de patch beschikbaar is.
Anders gaan mensen het lek zoeken in de opensource code en kunnen ze hier een exploit voor schrijven (nog voordat de patch beschikbaar is).
Zodra de patch er is doet men een diff in versie sourcecode, is de gepatchde code zichtbaar en kan men het lek reverse engineren.

Ha, we hebben hier weer junioren dat denken dat "testen" alle bugs vindt .

Vertel eens jongens, hoeveel heb je al gecashed aan bug bounties door zelf te testen ?

Er staan toch echt wel leuke bedragen open voor een hoop software ,en je denkt blijkbaar dat het met "testen" zo te vinden is, dus het zou dan easy money moeten zijn, denk je ook niet ?
Dus vertel ...

Junioren? beetje kleuter reactie en niemand die hier zegt dat testen alle bugs vindt! Blijkbaar gaat het gemaakte punt van anoniem er bij jou ook niet in maar waarschijnlijk ben je dezelfde figuur.

Ha daar heb je weer zo'n professional die denkt dat testen niet nog is.