image

"Groot aantal OpenSSL-installaties niet meer ondersteund met updates"

vrijdag 4 november 2022, 12:21 door Redactie, 7 reacties

Deze week kreeg een kwetsbaarheid in OpenSSL 3.0 veel aandacht, maar een veel groter probleem is het gebruik van OpenSSL-versies die niet meer met beveiligingsupdates worden ondersteund, zo stelt securitybedrijf Qualys op basis van eigen onderzoek.

OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt. Kwetsbaarheden in de software kunnen grote gevolgen hebben, zoals de Heartbleed-bug uit 2014 aantoonde.

Het OpenSSL-ontwikkelteam had vorige week aangekondigd dat er een kritieke kwetsbaarheid in OpenSSL 3.0 aanwezig was. De impactbeoordeling werd echter afgeschaald naar een "hoge" impact, zo bleek afgelopen dinsdag bij het uitkomen van de update. Op dit moment zijn er twee versies van OpenSSL die worden ondersteund, namelijk versie 1.1.1 en 3.0.

Securitybedrijf Censys meldde eerder al dat OpenSSL 3.0 weinig wordt gebruikt. Zo trof het bedrijf via een scan slechts zevenduizend servers met deze OpenSSL-versie aan. Qualys besloot bij de eigen klanten te kijken en ontdekte 15.000 organisaties die van OpenSSL gebruikmaken. Tien procent werkt binnen hun eigen omgeving met een kwetsbare OpenSSL 3.0-versie. Qualys besloot ook een serverscan uit te voeren op internet en detecteerde 14 miljoen servers. Slechts 13.000 daarvan draaiden OpenSSL 3.0.

Wat volgens het securitybedrijf een veel grotere zorg is, is het gebruik van OpenSSL-versies die end-of-life of end-of-support zijn. 82 procent van de OpenSSL-installaties die Qualys detecteerde ontvangt geen beveiligingsupdates meer. Sinds 2002 zijn in de verschillende OpenSSL-versies meer dan tweehonderd kwetsbaarheden aangetroffen. Hoewel het aantal werkbare exploits beperkt is, wordt organisaties aangeraden naar een wel ondersteunde versie te updaten.

Image

Reacties (7)
04-11-2022, 14:04 door Anoniem
Meten is natuurlijk een momentopname. Meeste bedrijven patchen 1x per maand.
kwetsbaarheden worden overal aangetroffen. Elke bug is in principe een kwetsbaarheid. Vraag is hoeveel er van kritiek en important zijn. Voor moderate en low maak ik mij niet veel zorgen, maar die moderate en important moet wel binnen een maand worden gepatcht als er een patch beschikbaar is volgens reguliere procedure. Kritiek binnen 2 dagen.
04-11-2022, 16:36 door Anoniem
"Elke bug is in principe een kwetsbaarheid"

Dit hoeft niet zo te zijn.
Volgens mij bestaan er ook "functionele bugs" dat iets niet correct functioneert of helemaal niet werkt, maar niet een dreiging of kwetsbaarheid hoeft te zijn.
05-11-2022, 09:52 door Anoniem
Door Anoniem: "Elke bug is in principe een kwetsbaarheid"

Dit hoeft niet zo te zijn.
Volgens mij bestaan er ook "functionele bugs" dat iets niet correct functioneert of helemaal niet werkt, maar niet een dreiging of kwetsbaarheid hoeft te zijn.

Inderdaad. En we zien de laatste tijd wel vaker dat er kwetsbaarheden zijn die wel in de nieuwe ondersteunde versie zitten (die dan gepatched moet worden) maar in de oude niet meer ondersteunde versie helemaal niet aanwezig waren!
Dat kan bijvoorbeeld komen omdat bepaalde nieuwe hippe functies die erbij geplakt zijn toen nog niet aanwezig waren.
06-11-2022, 03:07 door Anoniem
Dat is toch geen probleem aangezien al die beheerders de sourcecode hebben en dus hun eigen patches schrijven?
06-11-2022, 04:58 door Anoniem
Voor burgers gelden qua support betere gerbuikersvoorwaarden. Dat houdt pas op nadat ze dood zijn.

Het toont maar aan dat, hoe mooi software ook kan zijn, het een moreel principe heeft van voor de oertijd.
06-11-2022, 20:48 door walmare
Door Anoniem: Dat is toch geen probleem aangezien al die beheerders de sourcecode hebben en dus hun eigen patches schrijven?
Niemand die zegt dat dat een probleem is. Waar gewerkt wordt vallen spaanders. Belangrijk is hoe snel het wordt gefixt en dara blingt veelopen source software in uit. Bij closed source zie je dat het altijd vreselijk achterloopt (te weinig resources beschikbaar en kost geld).
07-11-2022, 12:27 door Anoniem
Door Anoniem: Dat is toch geen probleem aangezien al die beheerders de sourcecode hebben en dus hun eigen patches schrijven?
Wijzigen en compileren van OpenSSL is niet eenvoudig en de documentatie is niet geweldig. En dan herb je nog goede tests nodig om te checken dat je per ongeluk niets kapot gemaakt hebt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.