Apple ontdekt OpenSSL-kwetsbaarheid die mitm-aanval mogelijk maakt
Een beveiligingsonderzoeker van Apple heeft een kwetsbaarheid (CVE-2024-12797) in OpenSSL gevonden waardoor het in bepaalde gevallen mogelijk is om man-in-the-middle (mitm)-aanvallen uit te voeren. Het OpenSSL-team heeft patches uitgebracht om het probleem te verhelpen, waarvan de impact als 'high' is beoordeeld.
OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Gisteren kwam het OpenSSL-team met een beveiligingsbulletin waarin ze laten weten dat TLS- en DTLS-verbindingen die van 'raw public keys' gebruikmaken kwetsbaar zijn voor mitm-aanvallen als een mislukte server-authenticatie niet door clients wordt gedetecteerd. Raw public keys zijn een een cryptografisch mechanisme gebruikt in public key infrastructure (PKI) systemen.
"Ze zijn een manier om een public key weer te geven zonder het bijbehorende digitale certificaat, dat aanvullende informatie bevat zoals de identiteit van de eigenaar, vervaldatum en digitale handtekeningen van een certificaatautoriteiten. Dit maakt raw public keys eenvoudiger en efficiënter, vooral in omgevingen met beperkte middelen", aldus het OpenSSL-team. Raw public keys staan standaard uitgeschakeld in TLS-clients en TLS-servers.
Het probleem doet zich alleen voor wanneer TLS-client toestaan dat de server gebruik mag maken van raw public keys en de server ingeschakeld heeft staan dat raw public keys worden verstuurd in plaats van een X.509 certificate chain, zoals normaliter het geval is. Clients lopen vervolgens risico als ze verwachten dat de handshake voor het opzetten van de versleutelde verbinding mislukt als de raw public keys van de server niet overeenkomen met de verwachte public keys.
Clients die server-side raw public keys hebben ingeschakeld kunnen nog steeds controleren dat de public key verificatie mislukte door een bepaalde functie aan te roepen, aldus het bulletin. Volgens de ontwikkelaars is het probleem met de eerste implementatie van support voor raw public keys in OpenSSL 3.2 geïntroduceerd. Apple-onderzoeker Viktor Dukhovni ontdekte het probleem en rapporteerde dit op 18 december vorig jaar aan het OpenSSL-team. Gebruikers wordt aangeraden om te updaten naar OpenSSL 3.2.4, 3.3.3 of 3.4.1.
Ik vermoed dat veel mensen moeite hebben met het begrijpen welk security-nieuws voor hén belangrijk is (c.q. wat slechts relevant is voor een kleine en zeer specifieke doelgroep).
In dit geval: als u zelf (of uw systeembeheerder) geen instellingen van OpenSSL (clients en servers) veranderd hebt, heeft u hoogstwaarschijnlijk niets te vrezen.
Maar ik was door de drukte vergeten deze tip aan jullie (security.nl) door te geven.
Ik vermoed dat veel mensen moeite hebben met het begrijpen welk security-nieuws voor hén belangrijk is (c.q. wat slechts relevant is voor een kleine en zeer specifieke doelgroep).
In dit geval: als u zelf (of uw systeembeheerder) geen instellingen van OpenSSL (clients en servers) veranderd hebt, heeft u hoogstwaarschijnlijk niets te vrezen.
Ik vermoed dat veel mensen moeite hebben met het begrijpen welk security-nieuws voor hén belangrijk is (c.q. wat slechts relevant is voor een kleine en zeer specifieke doelgroep).
In dit geval: als u zelf (of uw systeembeheerder) geen instellingen van OpenSSL (clients en servers) veranderd hebt, heeft u hoogstwaarschijnlijk niets te vrezen.
Ik vermoed dat veel mensen moeite hebben met het begrijpen welk security-nieuws voor hén belangrijk is (c.q. wat slechts relevant is voor een kleine en zeer specifieke doelgroep).
In dit geval: als u zelf (of uw systeembeheerder) geen instellingen van OpenSSL (clients en servers) veranderd hebt, heeft u hoogstwaarschijnlijk niets te vrezen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?