image

NCSC komt met overzicht van producten die van OpenSSL gebruikmaken

dinsdag 1 november 2022, 07:26 door Redactie, 17 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid roept Nederlandse organisaties en bedrijven op zich voor te bereiden op de OpenSSL-update die vanmiddag verschijnt en een kritieke kwetsbaarheid in de software verhelpt. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde.

Het NCSC adviseert organisaties om in kaart te brengen waar ze precies allemaal van OpenSSL gebruikmaken. Om hier een handje bij te helpen heeft de overheidsinstantie een overzicht gemaakt van producten waarin OpenSSL aanwezig is. Het NCSC deed dit eerder ook al voor Log4j. Dit overzicht werd vervolgens wereldwijd gebruikt. Het nieuwe overzicht, met de naam "2022 OpenSSL vulnerability", is op GitHub te vinden.

De kritieke kwetsbaarheid, pas de tweede in OpenSSL waarvoor een patch verschijnt, is aanwezig in versie 3.0 vam de software. Versies 1.1.1 en 1.0.2 hebben niet met het probleem te maken. De update zou tussen 14.00 en 18.00 uur moeten uitkomen.

Reacties (17)
01-11-2022, 08:03 door Anoniem
Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.
01-11-2022, 08:48 door Anoniem
Komen ze mooi op tijd mee, is al een week bekend dat vandaag patch-dag moet worden, dus nu nog inventraiseren waar je openssl 3 hebt draaien is laat.
01-11-2022, 09:30 door Anoniem
Zou wel handig zijn als ze die tabel sorteerbaar haden gemaakt zodat je even op de kop "vulnerable" kon klikken en kijken
wat er dan allemaal bij elkaar komt te staan...
01-11-2022, 09:32 door Anoniem
Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.
Dan heb je er maar weinig van begrepen... het gaat niet om antieke stabiele spullen maar om nieuwste-van-het-nieuwste
Linux distributies e.d.
01-11-2022, 10:27 door Anoniem
Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....
01-11-2022, 11:11 door Anoniem
Door Anoniem:
Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.
01-11-2022, 13:30 door CorChando
Door Anoniem:
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.

Die werken echt niet met de nieuwste OpenSSL 3.0 die amper een jaar oud is. Firewall fabrikanten zijn over het algemeen zeer terughoudend in het gebruik van nieuwe versies. Als het niet strict noodzakelijk is doen ze dat liever niet.
01-11-2022, 14:06 door Anoniem
Door CorChando:
Door Anoniem:
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.

Die werken echt niet met de nieuwste OpenSSL 3.0 die amper een jaar oud is. Firewall fabrikanten zijn over het algemeen zeer terughoudend in het gebruik van nieuwe versies. Als het niet strict noodzakelijk is doen ze dat liever niet.
Ik verwacht dat ook niet. Alleen degene die het nieuwste van het nieuwste draaien of bleeding edge die zullen getroffen zijn. Ik verwacht ook dat dit minder impact zal hebben dan Log4J.
01-11-2022, 14:29 door Anoniem
Ik weet het root password van mijn wifi koelkast niet meer. Help?
01-11-2022, 16:00 door _R0N_
Door Anoniem:
Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Al die crappy docker images gok ik..
En alles met Node.js
01-11-2022, 16:02 door _R0N_ - Bijgewerkt: 01-11-2022, 16:14
Door Anoniem:
Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Yepp Ubuntu 22.xx en RHEL 9 en alles met Alpine >=3.15 en Node.js >=17
01-11-2022, 16:21 door Pieter Stoffelen
Scan bij ons geeft heel veel versie 1_1 libssl die niet kwetsbaar zijn.
Wel een probleem zijn de vmware tools op vmware servers, die hebben wel versie 3.
In hoeverre de kwetsbaarheid daarvan uit te buiten is weet ik niet.
01-11-2022, 16:37 door Anoniem
Is er ondertussen al bekend wat precies het probleem is? Want straks zitten we ons allemaal weer druk te maken om
iets onbelangrijks als "met 10000000 pogingen kun je de secret key van de server downloaden"...
01-11-2022, 17:00 door Anoniem
Ik lees dat Nessus en nessus agents ook SSL 3.05 supporten, vermoedelijk komen die ook wel met een update.

https://docs.tenable.com/releasenotes/Content/nessus/nessus1030.htm
https://docs.tenable.com/releasenotes/Content/nessusagent/agent1020.htm
01-11-2022, 17:03 door Anoniem
Man man man wat een bagger. Zelfs diegenen die niet kwetsbaar zijn voor SSL3, hebben nog een forse achterstand op 1.1. dus niet van, ik heb nergens last van.
01-11-2022, 19:13 door Anoniem
F5 Big Ip is nog in onderzoek lees ik. Hoop toch echt dat daar niets uitkomt en anders zal daar wel snel een update voor komen nu OpenSSL 3.07 heeft uitgebracht.
02-11-2022, 23:20 door Anoniem
De kosten gaan voor de baat uit.
Helaas willen velen daar ook nog op bezuinigen.
Vandaar de situatie die we hebben.

Die er verstand van hebben, hebben niets te beslissen.
Die de beslissingen nemen, hebben er werkelijk geen snars verstand van meestal.
Ze werken ook nog niet en lopen toch flink binnen. Met een flinke bonus als kers op de inkomens-taart.

Keert de IT-wal het schip nog? Hoe ver moet de afbraak en de chaos eerst gaan en voortduren?
Alles wat je erover zegt is dan ook nog eens aan dovemensoren gericht.

#obserwator
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.