Ernstige kwetsbaarheid in OpenSSL gedicht met noodpatch

  1. 26 sep 2016
  2. 0 reacties

OpenSSL dicht met noodpatches een tweetal beveiligingsgaten in OpenSSL, waaronder een ernstige kwetsbaarheid. Het gaat om een beveiligingslek waarmee aanvallers op afstand willekeurige code konden uitvoeren op servers.

Het eerste lek (CVE-2016-6309) is uitsluitend aanwezig in OpenSSL 1.1.0a en is veroorzaakt door een beveiligingsupdate die op 22 september is verschenen. De kwetsbaarheid, die als ‘ernstig’ is geclassificeerd, kan worden uitgebuit door pakketjes van meer dan 16k naar een server te sturen. In principe crasht de server hierdoor, maar OpenSSL waarschuwt dat het in theorie mogelijk is hierdoor op afstand willekeurige code uit te voeren op het systeem.

CVE-2016-7052

De noodpatch dicht ook een tweede beveiligingslek (CVE-2016-7052), waarvan de ernstigheid wordt geclassificeerd als ‘gemiddeld’. Dit lek is alleen in OpenSSL 1.0.2i te vinden, die eveneens op 22 september is verschenen. In OpenSSL 1.1.0 is een CRL sanity check toegevoegd, maar deze ontbrak in OpenSSL 1.0.2i. Indien gebruikers CRL’s proberen te gebruiken in OpenSSL 1.0.2i leidt dit hierdoor tot een crash. OpenSSL adviseert gebruikers te updaten naar OpenSSL 1.0.2j.

Meer informatie over de kwetsbaarheden en de noodpatches is hier te vinden.

Meer over
Lees ook
'Energiesector is een populair doelwit van hackers'

'Energiesector is een populair doelwit van hackers'

Dat hackers zich zeker niet alleen bezig houden met het aanvallen van websites is al langer duidelijk. Allerlei sectoren zijn geliefde doelwitten voor cybercriminelen. Een voorbeeld hiervan is de energiesector. 7,6 procent van alle gerichte cyberaanvallen was in de eerste helft van 2013 op deze sector gericht. Dit meldt beveiligingsbedrijf Symante1

Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden

Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden

Het Havenbedrijf Rotterdam lanceert een responsible disclosure-programma. Ethische hackers die zwakheden in havensystemen ontdekken kunnen de kwetsbaarheden via het programma melden aan het havenbedrijf. "Bij Havenbedrijf Rotterdam N.V. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze syste1

'Behoefte aan security professionals is hard gestegen'

'Behoefte aan security professionals is hard gestegen'

Bedrijven hebben afgelopen jaar aanzienlijk meer behoefte gehad aan security professionals dan vorig jaar. De hoeveelheid vacatures voor security experts nam met maar liefst ruim 40 procent toe. Dit blijkt uit cijfers van detacheringsbureau Yacht. Het aantal beschikbare vacatures voor beveiligingsprofessionals kwam in het jaar 2012 uit op 698. Di1