Lijst met OpenSSL-gebruikende producten schrikbarend lang

In afwachting van de vorige week aangekondigde patch voor OpenSSL moeten beheerders zich opmaken om hun ICT-omgeving goed door te lichten. De voor vandaag geplande update moet namelijk een kritieke kwetsbaarheid dichten, die van het OpenSSL-ontwikkelteam de hoogste inschaling qua ernst heeft gekregen. De impact daarvan kan groot zijn, gezien de lange lijst die het Nederlandse NCSC heeft opgesteld - en nog aanvult - met techproducten waarin OpenSSL is opgenomen.

Jasper BakkerredacteurMeer van deze auteur

Patch — © Shutterstock.com

Shutterstock.com

Niet alle producten met OpenSSL zijn ook gelijk kwetsbaar. De softwarelijst van het NCSC (Nationaal Cyber Security Centrum) geeft dat ook duidelijk aan. Sommige producten gebruiken een versie in de 3.0-reeks die wél kwetsbaar is. Andere producten gebruiken een oudere versie, die niet het grote beveiligingsgat bevat. Bij een relatief klein aantal producten op de lange lijst staat momenteel aangegeven dat er nog wordt onderzocht welke versie van dat product dan welke versie van OpenSSL gebruikt.

Software, hardware, netwerk

Het bereik aan opgesomde producten is groot. Niet alleen qua aantallen, maar ook qua leveranciers plus ook nog eens de uiteenlopende producten van individuele leveranciers. Naast diverse Linux-distributies zoals Arch, Debian, Ubuntu (van Canonical), Fedora, Red Hat en CentOS, OpenSUSE, OpenMandriva en Slackware staan ook de Unix-afgeleide besturingssystemen FreeBSD en NetBSD op de lijst van het NCSC. Behalve besturingssystemen prijken ook veel appliances, inclusief voor security, op de lange lijst. Bekende namen als F5 Networks, Fortinet en Palo Alto Networks zijn te vinden.

Netwerkapparatuur van Cisco en Ubiquiti worden ook genoemd, waarbij de producten van laatstgenoemde als zijnde niet-kwetsbaar worden vermeldt. De status van producten van netwerkreus Cisco wordt nog onderzocht. Onderaan de alfabetisch gesorteerde lijst staat ook nog VMware, van wie de VMware Tools wél kwetsbaar zijn; daarin zit versie 3.0.0 van OpenSSL verwerkt. Die release van de library voor versleuteling van dataverkeer is in september vorig jaar uitgekomen. Daarna zijn nog enkele kleinere updates uitgekomen, tot aan 3.0.5 en begin vorige maand 3.0.6 die echter een dag na het uitkomen weer is ingetrokken.

Tweede kritieke patch ooit

De vandaag verschijnende 3.0.7-update moet dus een kritieke kwetsbaarheid dichten waarover vorige week al openlijk is gecommuniceerd. Daarbij zijn geen details vrijgegeven, maar de ernst is wel duidelijk gemaakt. Deze release is slechts de tweede kritieke update ooit in de hele geschiedenis van OpenSSL. De allereerste publieke release was in 1998, met versie 0.9.1. De vorige kritieke update was in 2016.