De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate aangekondigd die donderdag verschijnt en meerdere kwetsbaarheden verhelpt. Eén van deze kwetsbaarheden is als "high" geclassificeerd, wat het hoogste niveau voor beveiligingslekken is dat OpenSSL hanteert.
Het gaat dan om kwetsbaarheden waardoor aanvallers een Denial of Service kunnen veroorzaken, er een grote hoeveelheid servergeheugen kan lekken of een aanvaller op afstand willekeurige code kan uitvoeren. Wat de aangekondigde update precies zal verhelpen is nog niet bekendgemaakt. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers. Vorig jaar april werd de zeer ernstige Heartbleed-bug in OpenSSL ontdekt, waardoor aanvallers informatie uit het geheugen van webservers konden stelen, zoals wachtwoorden.
Update 11:29
Mark Cox van OpenSSL laat via Twitter weten dat het kritieke lek alleen in OpenSSL 1.0.2 aanwezig is. De problemen in de andere versies van OpenSSL zijn als "moderate" en "low" beoordeeld en hebben dus ook een veel lagere impact. OpenSSL 1.0.2 is een nieuwe versie die op 22 januari verscheen en allerlei nieuwe features bevat. Op hoeveel systemen deze specifieke versie is geinstalleerd is onbekend.
Bron: Security.nl