Nieuws

Lek in OpenSSL maakte afluisteren verbindingen mogelijk

Gepost op 06 juni 2014 door Webmaster. Bron: Security.nl.
De ontwikkelaars van OpenSSL, de software die massaal op internet wordt gebruikt voor het opzetten van versleutelde verbindingen, hebben een nieuwe versie uitgebracht die verschillende lekken verhelpt, waardoor aanvallers kwaadaardige code konden uitvoeren of internetverkeer konden afluisteren.


In totaal zijn er vijf kwetsbaarheden in de nieuwe OpenSSL-versies verholpen, waarvan er twee opvallen. Het gaat om een man-in-the-middle-kwetsbaarheid die op 1 mei van dit jaar aan de ontwikkelaars was gemeld, maar zou volgens de ontdekker al sinds de eerste versie van 16 jaar geleden aanwezig zijn. Door dit lek kon een aanvaller die zich tussen de aangevallen gebruiker en server plaatst het verkeer aanpassen of ontsleutelen. De aanval werkt echter alleen als zowel de client als de server kwetsbaar zijn.

Het lek is in alle OpenSSL-clients aanwezig. Servers zijn alleen kwetsbaar als ze OpenSSL 1.0.1 en 1.0.2-beta1 draaien. Beheerders van een OpenSSL-server die versies voor 1.0.1 draaien krijgen het advies om uit voorzorg toch te upgraden.

Buffer overrun
Het tweede grote probleem betreft een buffer overrun-aanval die het mogelijk maakte om willekeurige code op een kwetsbare client of server uit te voeren. Alleen applicaties die OpenSSL als een DTLS-client of server gebruiken lopen risico. Dit probleem werd op 24 april bij de ontwikkelaars gemeld. De overige drie verholpen problemen konden door een aanvaller worden gebruikt om een Denial of Service te veroorzaken. Meer informatie over kwetsbare versies is in de advisory te vinden.

Begin april van dit jaar werd de zeer ernstige Heartbleed-kwetsbaarheid in OpenSSL ontdekt. Hierdoor was het mogelijk voor een aanvaller om informatie uit het geheugen van webservers te stelen, zoals wachtwoorden en sessiecookies. De nu verholpen problemen zijn minder ernstig van aard. Om de veiligheid van OpenSSL te verbeteren besloten verschillende IT-giganten, zoals IBM, Intel, Microsoft, Google en Facebook, om OpenSSL een miljoeneninjectie te geven.
Reacties op dit artikel (0)
Er zijn nog geen reacties geplaatst. Ben jij de eerste? Klik hier om een reactie te plaatsen.
Google plaatst cookies om statistieken te kunnen verzamelen en advertenties te kunnen aanbieden - informatie over jouw gebruik van deze website wordt om die reden met hen gedeeld. Google kan deze gegevens combineren met andere informatie die je aan hen hebt verstrekt of die ze hebben verzameld op basis van je gebruik van hun services. Lees meer Ik snap het