Nieuws

NCSC komt met overzicht van producten die van OpenSSL gebruikmaken

dinsdag 1 november 2022, 07:26 door Redactie, 17 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid roept Nederlandse organisaties en bedrijven op zich voor te bereiden op de OpenSSL-update die vanmiddag verschijnt en een kritieke kwetsbaarheid in de software verhelpt. OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen en kwetsbaarheden hierin kunnen grote gevolgen hebben, zoals de HeartBleed-bug in 2014 demonstreerde.

Het NCSC adviseert organisaties om in kaart te brengen waar ze precies allemaal van OpenSSL gebruikmaken. Om hier een handje bij te helpen heeft de overheidsinstantie een overzicht gemaakt van producten waarin OpenSSL aanwezig is. Het NCSC deed dit eerder ook al voor Log4j. Dit overzicht werd vervolgens wereldwijd gebruikt. Het nieuwe overzicht, met de naam "2022 OpenSSL vulnerability", is op GitHub te vinden.

De kritieke kwetsbaarheid, pas de tweede in OpenSSL waarvoor een patch verschijnt, is aanwezig in versie 3.0 vam de software. Versies 1.1.1 en 1.0.2 hebben niet met het probleem te maken. De update zou tussen 14.00 en 18.00 uur moeten uitkomen.

NSA publiceert best practices voor beveiligen van software supply chain

Boekenbedrijf Chegg op vingers getikt wegens datalek met 40 miljoen klanten

Reacties (17)

01-11-2022, 08:03 door Anoniem

Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

01-11-2022, 08:48 door Anoniem

Komen ze mooi op tijd mee, is al een week bekend dat vandaag patch-dag moet worden, dus nu nog inventraiseren waar je openssl 3 hebt draaien is laat.

01-11-2022, 09:30 door Anoniem

Zou wel handig zijn als ze die tabel sorteerbaar haden gemaakt zodat je even op de kop "vulnerable" kon klikken en kijken
wat er dan allemaal bij elkaar komt te staan...

01-11-2022, 09:32 door Anoniem

Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Dan heb je er maar weinig van begrepen... het gaat niet om antieke stabiele spullen maar om nieuwste-van-het-nieuwste
Linux distributies e.d.

01-11-2022, 10:27 door Anoniem

Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

01-11-2022, 11:11 door Anoniem

Door Anoniem:

Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.

01-11-2022, 13:30 door CorChando

Door Anoniem:
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.

Die werken echt niet met de nieuwste OpenSSL 3.0 die amper een jaar oud is. Firewall fabrikanten zijn over het algemeen zeer terughoudend in het gebruik van nieuwe versies. Als het niet strict noodzakelijk is doen ze dat liever niet.

01-11-2022, 14:06 door Anoniem

Door CorChando:

Door Anoniem:
Grootste impact zal verwacht ik zo'n beetje alle gerenomeerde merken compay firewalls zijn die het netwerk moeten beveiligen en de eventuele SSL VPN verbindingen van hun clients.

Ik verwacht dat ook niet. Alleen degene die het nieuwste van het nieuwste draaien of bleeding edge die zullen getroffen zijn. Ik verwacht ook dat dit minder impact zal hebben dan Log4J.

01-11-2022, 14:29 door Anoniem

Ik weet het root password van mijn wifi koelkast niet meer. Help?

01-11-2022, 16:00 door _R0N_

Door Anoniem:

Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Al die crappy docker images gok ik..
En alles met Node.js

01-11-2022, 16:02 door _R0N_ - Bijgewerkt: 01-11-2022, 16:14

Door Anoniem:

Door Anoniem: Ik zou best vast een voorzetje durven doen; Alles , inclusief je wekkerradio en alles wat op welke manier dan netwerk communicatie kan doen.

Ik denk dat het heel erg mee gaat vallen, versie 3 is pas sinds een jaar uit en veel apparatuur draait op lagere versies.

Grootste impact zal denk ik op de Linux distributies zijn.....

Yepp Ubuntu 22.xx en RHEL 9 en alles met Alpine >=3.15 en Node.js >=17

01-11-2022, 16:21 door Pieter Stoffelen

Scan bij ons geeft heel veel versie 1_1 libssl die niet kwetsbaar zijn.
Wel een probleem zijn de vmware tools op vmware servers, die hebben wel versie 3.
In hoeverre de kwetsbaarheid daarvan uit te buiten is weet ik niet.

01-11-2022, 16:37 door Anoniem

Is er ondertussen al bekend wat precies het probleem is? Want straks zitten we ons allemaal weer druk te maken om
iets onbelangrijks als "met 10000000 pogingen kun je de secret key van de server downloaden"...

01-11-2022, 17:00 door Anoniem

Ik lees dat Nessus en nessus agents ook SSL 3.05 supporten, vermoedelijk komen die ook wel met een update.

https://docs.tenable.com/releasenotes/Content/nessus/nessus1030.htm
https://docs.tenable.com/releasenotes/Content/nessusagent/agent1020.htm

01-11-2022, 17:03 door Anoniem

Man man man wat een bagger. Zelfs diegenen die niet kwetsbaar zijn voor SSL3, hebben nog een forse achterstand op 1.1. dus niet van, ik heb nergens last van.

01-11-2022, 19:13 door Anoniem

F5 Big Ip is nog in onderzoek lees ik. Hoop toch echt dat daar niets uitkomt en anders zal daar wel snel een update voor komen nu OpenSSL 3.07 heeft uitgebracht.

02-11-2022, 23:20 door Anoniem

De kosten gaan voor de baat uit.
Helaas willen velen daar ook nog op bezuinigen.
Vandaar de situatie die we hebben.

Die er verstand van hebben, hebben niets te beslissen.
Die de beslissingen nemen, hebben er werkelijk geen snars verstand van meestal.
Ze werken ook nog niet en lopen toch flink binnen. Met een flinke bonus als kers op de inkomens-taart.

Keert de IT-wal het schip nog? Hoe ver moet de afbraak en de chaos eerst gaan en voortduren?
Alles wat je erover zegt is dan ook nog eens aan dovemensoren gericht.

#obserwator

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer