Vanmiddag verschijnt er een belangrijke beveiligingsupdate voor OpenSSL 3.0, maar het aantal kwetsbare servers is zeer beperkt, zo stelt securitybedrijf Censys. Het bedrijf vond slechts zevenduizend servers die van OpenSSL 3.0 gebruikmaken, waarvan 167 in Nederland. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.
Kritieke kwetsbaarheden worden zelden in de software gevonden. Het is pas de tweede keer dat er een kritieke beveiligingsupdate verschijnt. De vorige keer was in 2016. Via dergelijke beveiligingslekken kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens buitmaken.
Vorig jaar september kwam OpenSSL met versie 3.0, de eerste grote release in drie jaar tijd. De meeste organisaties werken echter nog met OpenSSL 1.1.x, die niet kwetsbaar is. Censys ontdekte op internet bijna 1,8 miljoen servers die één of meerdere services draaien die van OpenSSL gebruikmaken. Slechts 7000 daarvan (0,4 procent) draaien OpenSSL. In Nederland werden 167 servers aangetroffen. Het gaat dan met name om OpenSSL versies 3.0.1 en 3.0.5.
Deze posting is gelocked. Reageren is niet meer mogelijk.