OpenSSL kondigt belangrijke patch voor kwetsbaarheden aan

[Captain Kirk]

Het OpenSSL Team heeft aangekondigd aanstaande donderdag 28 januari een patch beschikbaar te stellen voor twee nieuwe kwetsbaarheden. De eerste kwetsbaarheid is geclassificeerd als "high" en bevindt zich volgens het bericht alleen in de 1.0.2 versies. De tweede kwetsbaarheid is geclassificeerd als "low" en zou zich in alle OpenSSL versies bevinden.

De classificatie "high" is de een na hoogste classificatie voor kwetsbaarheden in OpenSSL, alleen "critical" is nog ernstiger.

High Severity

Op de Security Policy pagina van OpenSSL wordt een "HIGH" Severity issue als volgt omschreven: "High Severity: This includes issues that are of a lower risk than critical, perhaps due to affecting less common configurations, or which are less likely to be exploitable. These issues will be kept private and will trigger a new release of all supported versions. We will attempt to keep the time these issues are private to a minimum; our aim would be no longer than a month where this is something under our control."

Zo snel mogelijk installeren

Het is vooralsnog gissen wat de kwetsbaarheid exact inhoud. Wel raadt Security.NL alle systeembeheerders aan om donderdag tijd vrij te maken en de patches zo snel mogelijk te installeren.

OpenSSL is een populaire SSL implementatie die wordt gebruikt in verschillende webservers en VPN oplossingen. OpenSSL kwam al eerder in het nieuws door verschillende ernstige kwetsbaarheid, waaronder de Heartbleed bug in 2014.

 

 

bron: security.nl