In de laatste versie van OpenSSL (1.0.1) is op 8 april 2014 een beveiligingslek ontdekt, waarbij het voor de aanvaller mogelijk is om in het bezit te komen van versleutelde informatie en de private key – welke wordt gebruikt voor de versleuteling. OpenSSL wordt voornamelijk gebruikt op Linux servers in combinatie met bijvoorbeeld Apache (webserver software). Hierdoor zijn een groot aantal webservers kwetsbaar.

heartbleed

Er zit een fout in de OpenSSL implementatie van de TLS/DTLS heartbeat extensie (RFC6520) van OpenSSL. Door misbruik te maken van dit lek is het voor een aanvaller mogelijk om geheugen van een server te lezen. De fout is geïntroduceerd in OpenSSL in december 2011. Hierdoor zijn bijna alle recente Linux versies en distributies kwetsbaar.

Welke versies zijn kwetsbaar?
Alle 1.0.1 versies tot en met 1.0.1f van OpenSSL zijn kwetsbaar. De versie 1.0.1g (de laatste) van OpenSSL lost dit probleem op. Eerdere versies van OpenSSL (waaronder 0.9.8 en 1.0.0) zijn niet kwetsbaar. Mogelijke kan software die is gebaseerd op OpenSSL kwetsbaar zijn.

Wat moet ik doen als ik OpenSSL gebruik?
OpenSSL dient allereerst direct gepatched (update) te worden. Indien er nog geen updates beschikbaar zijn bij uw leverancier dan kunt u OpenSSL handmatig compileren met – DOPENSSL_NO_HEARTBEATS.

Omdat het mogelijk is om via deze fout in het bezit te komen van de private keys is het aan te raden om nieuwe private keys te genereren en het certificaat opnieuw te laten uitgeven. Hiervoor kan de optie “reissue” in onze portal worden gebruikt. De oude certificaten worden hierna automatisch ingetrokken.

Hoe zie ik dat mijn server nog kwetsbaar is?
Onze SiteCheck is aangepast zodat deze toont of een server kwetsbaar is of succesvol is aangepast. Check hier of uw server kwetsbaar is: SiteCheck

Wat doet Networking4All?
Middels onze portal kunt u automatisch reissues (heruitgifte) aanvragen. Wij doen er momenteel alles aan om deze aanvragen voor reissue zo snel mogelijk te verwerken.

Lees relevante artikelen

Categorie  SSL & Security | Tags  https openssl ssl