Home Security Een update over OpenSSL

Een update over OpenSSL

59

Na de enorme impact van de Heartbleed-kwetsbaarheid in OpenSSL, die eerder dit jaar bekend werd en naar schatting 24 procent van alle systemen aantastte, zijn er nu verschillende onafhankelijke audits uitgevoerd. Het is geen verrassing dat er weer nieuwe kwetsbaarheden zijn gevonden.
Volgens Ivan Ristic, directeur van Qualys SSL Labs en een SSL-goeroe, gaat het om serieuze kwetsbaarheden, die echter niet de impact hebben van Heartbleed. De belangrijkste kwetsbaarheid (CVE-2014-0224) is een man-in-the-middle-scenario tussen twee machines met OpenSSL voor het ontsleutelen van verzonden data.

In de meeste vormen van communicatie (browser – webserver) is er geen sprake van twee machines met OpenSSL, omdat de browser een andere SSL library gebruikt. Hoewel er dus in bepaalde gevallen sprake kan zijn van OpenSSL naar OpenSSL-communicatie, zoals in command line-tools, server to server-communicatie en in Android-browsers (Chrome en native) die OpenSSL gebruiken, zijn de mogelijkheden van misbruik behoorlijk moeilijk te bepalen. Daarnaast vereist de kwetsbaarheid het plaatsen van een man in the middle, wat beperkend werkt. Daarentegen is het mogelijk om betere tools te ontwikkelen voor bijvoorbeeld het op grote schaal inbreken op wifinetwerken en andere omgevingen.

Zo is bijvoorbeeld het grootschalig ‘oogsten’ van wachtwoorden en session identifiers van grote websites te automatiseren. Het is daarom raadzaam om je OpenSSL te updaten en voorbereid te zijn op regelmatige updates. Het is zeker niet voor het laatst dat er bugs in de software aangetroffen worden. Daarbij is het goed te weten dat nu alle versies een update nodig hebben en niet alleen die versies die gevoelig waren voor Heartbleed. Lees hier meer over in een interessante blogpost van de ontdekker van de kwetsbaarheid, Masashi Kikuchi.

Wolfgang Kandek is CTO van Qualys

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in