Beveiligingsupdate OpenSSL schakelt sslv2 uit

[Captain Kirk]

De ontwikkelaars van OpenSSL hebben een belangrijke beveiligingsupdate uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder de vandaag aangekondigde DROWN-aanval. Via dit lek kan een aanvaller, door gebruik te maken van het oude sslv2-protocol dat veel servers nog steeds ondersteunen, de inhoud van versleutelde verbindingen lezen en zo gevoelige informatie achterhalen.

Om het probleem te verhelpen heeft OpenSSL besloten om in OpenSSL 1.0.2g en 1.0.1s sslv2 standaard uit te schakelen. Daarnaast worden de 'sslv2 export-ciphers' verwijderd. In totaal verhelpen OpenSSL 1.0.2g en 1.0.1s acht beveiligingslekken. Twee daarvan zijn als "high" aangemerkt. Naast de DROWN-kwetsbaarheid gaat het om een beveiligingslek dat in OpenSSL-versies voor 19 maart 2015 aanwezig is. Via deze kwetsbaarheid is het mogelijk om de sslv2-meestersleutel via slechts 16 verbindingen te bepalen. Ook laat het aanvallers een efficiëntere DROWN-aanval uitvoeren. De kwetsbare code werd op 19 maart 2015 al in OpenSSL 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8zf gepatcht.

Hetzelfde geldt voor de enige kwetsbaarheid die als "moderate" werd bestempeld en het ook mogelijk maakt om een efficiëntere DROWN-aanval uit te voeren. De resterende vijf kwetsbaarheden kregen met het stempel "Low" de laagste beoordeling. Gebruikers krijgen het advies om naar OpenSSL 1.0.2g of 1.0.1s te upgraden. OpenSSL is één van de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

 

 

bron: security.nl