Vandaag zijn er updates voor OpenSSL uitgebracht die veertien kwetsbaarheden verhelpen. Twee daarvan zijn als “high” aangemerkt, het hoogste niveau voor beveiligingslekken volgens OpenSSL.
Het eerste high-lek maakt het mogelijk om een Denial of Service bij een server uit te voeren. Het komt alleen voor bij versie 1.0.2. Het tweede high-lek werd aanvankelijk als “low” gezien, de laagste categorie volgens OpenSSL.
FREAK-lek
Een OpenSSL-ontwikkelaar gaf aan dat er maar één high-lek zou zijn (in versie 1.0.2). Het gaat om het “FREAK-lek”. Via dit lek kan een aanvaller de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, deze kraken om vervolgens het verkeer te bekijken.
Aanzienlijk aantal servers
Aanvankelijk namen de OpenSSL-ontwikkelaars aan dat het probleem kleinschalig zou zijn. Aanvullend onderzoek toonde echter aan dat nog een aanzienlijk aantal servers de zwakke encryptie mogelijk maakt. Andere kwetsbaarheden die vandaag zijn gepatcht, hebben betrekking op Denial of Service-aanvallen tegen servers. Afhankelijk van de geïnstalleerde versie is het advies om te upgraden naar versie 1.0.2a, 1.0.1m, 1.0.0r of 0.9.8zf.