De juiste aandacht voor uw informatiebeveiliging™

OpenSSL door bug misschien iets té open

OpenSSL door bug misschien iets té open

De makers van de OpenSSL encryptie-technologieën hebben onlangs een fix uitgebracht waarmee zij een kwetsbaarheid in hun product hebben weten op te lossen. Deze kwetsbaarheid of zelfs bug, maakte het mogelijk dat hackers de beveiligde communicatie tussen systemen en gebruikers via HTTPS or andere protocollen die gebruik maken van OpenSSL konden ontcijferen. Iets dat men juist met encryptie wil voorkomen.

De bug was serieus en er is inmiddels een oplossing beschikbaar, maar dit heeft wel enige tijd nodig gehad. De bug betrof alleen OpenSSL versie 1.0.2 en er waren specifieke randvoorwaarden waaraan moest worden voldaan om kwetsbaar te zijn voor hackers. Het betrof onder meer het gebruik van Diffie-Hellman key exchange met gebruik van DSA (Digital Signature Algorithm). Servers die hiervan gebruik maken passen in principe iedere keer dezelfde private Diffie-Hellman componenten toe na een server (her)start en zijn hierdoor kwetsbaar. Diffie-Hellman installaties die gebruik maken van DSA gebruiken een statische versleutelcodering waren eveneens kwetsbaar.

Vele populaire implementaties van OpenSSL en DSA waren echter standaard al dusdanig aangepast dat zij geen last hebben ondervonden van deze bug. De Apache Web Server bijvoorbeeld gebruikt een instelling (SSL_OP_SINGLE_DH_USE) waardoor het probleem zich niet voordoet. Andere van OpenSSL afgeleide toepassingen zoals BoringSSL en LibreSSL zijn inmiddels aangepast, maar blijven kwetsbaar in de toekomst door gebruik van statische encryptiecodering. OpenSSL wordt ook gebruikt door fabrikanten van onder meer security oplossingen. Zolang deze systemen binnen het netwerk worden toegepast en niet direct extern toegankelijk zijn, is er echter geen gevaar. Wanneer de systemen vanuit openbaar internet wel toegankelijk zijn dient men voorzorgsmaatregelen te nemen.

OpenSSL systemen die gebruik maken van versie 1.0.2 dienen direct te worden geüpgraded naar versie 1.0.2f, voor versie 1.0.1 systemen dient men versie 1.0.1r te worden geïnstalleerd. Ondersteuning voor versie 1.0.1 eindigt sowieso eind 2016.

Zeker weten dat ook uw systemen veilig en beschermd zijn tegen systeem bugs? Neem dan nu contact op met SECWATCH.

Meer technische informatie is beschikbaar onder de noemer CVE-2016-0701 of via OpenSSL (https://openssl.org/news/secadv/20160128.txt)

“Door de SECWATCHED™-certificering kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten

SecWatch