OpenSSL bevat opnieuw beveiligingsgat

  1. 10 jul 2015
  2. 0 reacties

encryptie

Opnieuw is een kwetsbaarheid aangetroffen in OpenSSL. Aanvallers kunnen met behulp van het lek kwetsbare applicaties dwingen een ongeldig certificaat als een legitiem transport layer security (TLS) of secure sockets layer (SSL) certificaat te behandelen.

Het lek is aangetroffen door Adam Langley, cryptografisch engineer bij Google, en David Benjamin, een ontwikkelaar van het BoringSSL project. Zodra door een applicatie een versleutelde verbinding wordt opgezet met een server worden controles uitgevoerd om het gebruikte certificaat te authentificeren. De kwetsbaarheid stelt aanvallers in staat dit mechanisme te omzeilen, waardoor een ongeldig certificaat afkomstig lijkt van een legitieme Certificate Authority (CA). Aanvallers kunnen hierdoor voor iedere website valse certificaten afgeven.

De kwetsbaarheid (CVE-2015-1793) is overigens alleen aanwezig in OpenSSL 1.0.2c, 1.0.2b, 1.0.1n en 1.0.1o, die allen verouderd zijn. Gebruikers wordt geadviseerd te upgraden naar 1.0.2d of 1.0.1p.

Meer over
Lees ook
Kamervragen over kwetsbaarheid van gemeentewebsites voor drown-lek

Kamervragen over kwetsbaarheid van gemeentewebsites voor drown-lek

VVD-Kamerleden Veldman en De Caluwé en PvdA-Kamerlid Oosenbrug (PvdA) hebben Kamervragen gesteld aan minister Plasterk van Binnenlandse Zaken over de kwetsbaarheid van gemeentewebsites voor het drown-lek. Via dit lek is het mogelijk versleutelde verbindingen te kraken om gevoelige informatie in handen te krijgen. Uit onderzoek van RTL Nieuws blijk1

Let’s Encrypt verstrekt 1 miljoen gratis SSL-certificaten

Let’s Encrypt verstrekt 1 miljoen gratis SSL-certificaten

Let’s Encrypt heeft ruim 1 miljoen gratis SSL-certificaten verstrekt. Het project stelt zichzelf als doel het volledige internet over te laten stappen op SSL. Dit meldt de Electronic Frontier Foundation (EFF), een organisatie die opkomt voor digitale burgerrechten. De EFF is één van de partijen die Let’s Encrypt steunt. De 1 miljoen verstrekte cer1

Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

In het protocol SSLv2 is vorige week het “DROWN” (Decrypting RSA with Obsolete and Weakened eNcryption) lek aangetroffen, dat aanvallers de mogelijkheid geeft versleutelde verbindingen kunnen kraken. Bedrijven die ondanks dit lek gebruik blijven maken van SSLv2 overtreden hiermee mogelijk de Wet bescherming persoonsgegevens (Wbp). Dit stelt de Aut1