dinsdag 8 april 2014

Ernstig lek gevonden in OpenSSL

Er is een ernstig lek aangetroffen in OpenSSL. De advisory van OpenSSL raadt gebruikers aan zo snel mogelijk te upgraden naar OpenSSL 1.0.1g.

De Heartbleed Bug is een ernstige kwetsbaarheid in het populaire OpenSSL. De kwetsbaarheid zorgt ervoor dat de gegevens die onder normale omstandigheden beschermd worden door de SSL/TLS encryptie laag gecompromitteerd kunnen worden. Communicatie via SSL/TLS biedt beveiliging en privacy voor toepassingen zoals web, e-mail, instant messaging (IM) en virtual private networks (VPN).

Door de Heartbleed bug kan iedereen 64k van het geheugen lezen van de systemen die de kwetsbare versies van de OpenSSL software gebruiken. Hierdoor kunnen aanvallers de communicatie afluisteren en gegevens stelen.

Codenomicon heeft de kwetsbaarheid op haar eigen systemen getest en kwam er achter dat misbruik mogelijk was zonder sporen achter te laten. Ze konden zonder sporen achter te laten en zonder enige voorkennis de geheime sleutels die gebruikt worden voor hun X.509-certificaten, gebruikersnamen en wachtwoorden, instant messages, e-mails en bedrijfskritische documenten en communicatie stelen.

Het uitgebreide verslag lees je op http://heartbleed.com/

Bron: Security.nl