Vorige week kondigde OpenSSL aan dat er een kritieke kwetsbaarheid in versie 3.0 van de software zou zitten, wat voor allerlei waarschuwingen van overheidsinstanties en securitybedrijven zorgde. Toen gisteren de beveiligingsupdate verscheen bleek de kritieke kwetsbaarheid te zijn afgeschaald naar een lagere impact. Het ontwikkelteam heeft nu in een blogpost verklaard wat hiervoor de reden was.
OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Een aantal keren per jaar verschijnt er een nieuwe versie van de software, waarmee onder andere beveiligingslekken worden verholpen.
OpenSSL kent vier niveaus om de impact van kwetsbaarheden te beoordelen: low, moderate, high en critical. Voor beveiligingslekken die als high en critical zijn beoordeeld zal het OpenSSL-team een nieuwe versie uitbrengen. De overige twee categorieën kwetsbaarheden worden tijdens geplande updaterondes verholpen. Vorige week werd zoals gezegd een kritieke kwetsbaarheid aangekondigd.
Dit beveiligingslek, aangeduid als CVE-2022-3602, werd in eerste instantie door het OpenSSL-ontwikkelteam als kritiek aangemerkt, omdat het tot een eenvoudig te veroorzaken buffer overflow kon leiden. Daardoor zou remote code execution mogelijk zijn. Een aanvaller zou zo in het ergste geval het onderliggende systeem kunnen overnemen.
Sinds de vooraankondiging ontving OpenSSL van verschillende organisaties feedback over het probleem en de impact daarvan. Zo bleek het beveiligingslek op verschillende Linux-distributies niet tot een crash of remote code execution te leiden. Verder bleek dat veel moderne platforms bescherming tegen stack overflows hebben, waardoor dergelijke kwetsbaarheden meestal tot een crash leiden, in plaats van de mogelijkheid voor een aanvaller om code uit te voeren.
Het ontwikkelteam merkt op dat OpenSSL als broncode wordt aangeboden en het niet weet hoe het binnen elk platform wordt gebruikt, waardoor remote code execution nog steeds op sommige platforms een mogelijkheid kan zijn. In het beveiligingsbeleid van OpenSSL staat echter dat een kwetsbaarheid alleen als kritiek wordt aangemerkt als remote code execution in veelvoorkomende situaties mogelijk is. Iets dat nu niet meer het geval bleek. Daarom werd het beveiligingslek afgeschaald.
De ontwikkelaars benadrukken dat het nog steeds om een ernstige kwetsbaarheid gaat en roepen gebruikers op zo snel mogelijk te upgraden naar OpenSSL 3.0.7. OpenSSL versies 1.0.2, 1.1.1 en eerder zijn niet kwetsbaar. OpenSSL 1.1.1 wordt tot 11 september 2023 ondersteund. Gebruikers van 1.0.2, een versie die end-of-life is, wordt aangeraden om naar OpenSSL 3.0 te upgraden.
"De kwetsbaarheid die OpenSSL eerder classificeerde als ‘kritiek’, hebben zij nu afgeschaald naar ‘hoog’. Op basis van de informatie die nu beschikbaar is, schat ook het NCSC de ernst van de kwetsbaarheid minder groot in dan op voorhand werd gedacht", zo laat het Nationaal Cyber Security Centrum (NCSC) in een reactie op de beveiligingsupdate weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.