Negen lekken in OpenSSL gedicht
De negen lekken waren allemaal al eerder bekend gemaakt. Hoewel ze niet te verwaarlozen zijn, heeft geen van alle dezelfde impact als de Heartbleed-bug die in april dit jaar tot zo veel onrust leidde.
Shutterstock
Shutterstock
De lekken die nu worden gedicht, kunnen er met behulp van een Denial of Service-aanval voor zorgen dat de OpenSSL crasht of zeer veel geheugen van de processor gaat opeisen. Het kwalijkste lek zorgt er voor dat de OpenSSL-server zichzelf in een lagere beveiligingsmodus zet. Dat gebeurt wanneer er een gemanipuleerde "ClientHello"-bericht aan de server wordt gestuurd tijdens een poging tot een man-in-the-middle-aanval. Het is dan mogelijk de OpenSSL-server te laten downgraden naar TLS 1.0, een eerder versie van het protocol met een slechtere beveiliging.
Heartbleed was de trigger
Een volledige beschrijving van de patches is te vinden op een adviespagina van OpenSSL. Het Heartbleed-drama eerder jaar heeft er voor gezorgd dat de grote internetbedrijven flink hebben geïnvesteerd in het veiliger maken van een aantal opensource-elementen waarvan zij allemaal gebruik maken als basis voor hun infrastructuur.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee