De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate
aangekondigd die donderdag verschijnt en meerdere kwetsbaarheden verhelpt. Eén van deze kwetsbaarheden is als "high" geclassificeerd, wat het
hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.
Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden.
Update 11:29Mark Cox van OpenSSL laat via
Twitter weten dat het kritieke lek alleen in OpenSSL 1.0.2 aanwezig is. De problemen in de andere versies van OpenSSL zijn als "moderate" en "low" beoordeeld en hebben dus ook een veel lagere impact. OpenSSL 1.0.2 is een
nieuwe versie die op
22 januari verscheen en allerlei nieuwe features bevat. Op hoeveel systemen deze specifieke versie is geinstalleerd is onbekend.
Bron: Security.nl