Patch om sslv2 in OpenSSL uit te zetten

Er is een beveiligingsupdate gepubliceerd door de ontwikkelaars van OpenSSL. Deze update repareert meerdere lekken, waaronder DROWN waar Informatiebeveiliging Nederland gisteren al over schreef. OpenSSL wordt zeer veel gebruikt om internetverbindingen te encrypten.

Door deze kwetsbaarheid in het oude sslv2-protocol (dat door veel servers tot op heden wordt ondersteund) kunnen kwaadwillenden informatie die via geëncrypte verbindingen wordt verstuurd, toch onderscheppen en inzien.

OpenSSL 1.0.2g en 1.0.1s
Wat is de remedie? OpenSSL heeft in OpenSSL 1.0.2g en 1.0.1s standaard sslv2 uitgezet. Ook zijn sslv2 export-ciphers gedeletet. Hiermee zijn acht kwetsbaarheden opgelost, waarvan er twee als ‘high’ zijn bestempeld.

Meestersleutel voor sslv2

Behalve de DROWN-kwetsbaarheid ging het om een andere kwetsbaarheid in de versies voor 19 maart 2015 van OpenSSL. Kwaadwillenden konden met behulp van dit lek de sslv2-meestersleutel vaststellen. Hiertegen is in maart van vorig jaar een patch verschenen voor OpenSSL 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8zf. De kwetsbaarheid die in de categorie ‘moderate’ is ingedeeld, is op dezelfde wijze te repareren. Er wordt aangeraden om te upgraden naar OpenSSL 1.0.2g of 1.0.1s.

Aanmelden voor onze nieuwsbrief