OpenSSL dicht kritieke DoS-fout

OpenSSL is veelgebruikte software om internetverbindingen te versleutelen. De software wordt onder meer gebruikt om verkeer van en naar bezoekers te versleutelen. Beveiligingsonderzoekers hebben in de software echter een DoS-fout gevonden waarmee grote aantallen servers gemakkelijk uitgeschakeld kunnen worden, schrijft Ars Technica.

Deze fout - die gevolgd wordt onder CVE-2021-3449 - kan misbruikt worden door een malafide bericht te versturen tijdens de handshake waarmee een beveiligde verbinding wordt opgezet tussen de eindgebruiker en een server. In dat geval crasht de server en ontstaat er een DoS-aanval.

De fout werd op 17 maart door Nokia-ontwikkelaars Peter Kästle en Samuel Sapalski gemeld bij OpenSSL en werd gisteren via een update opgelost. Het probleem doet zich voor bij OpenSSL-servers die draaien op een versie tussen 1.1.1 en 1.1.1j. 

Fout in certificaatverificatie

OpenSSL dichtte in de update ook een kwetsbaarheid in de controle op certificaten. De kwetsbaarheid voorkomt dat apps zien dat een TLS-certificaat niet digitaal ondertekend is door een vertrouwde certificaatautoriteit. Normaal gesproken worden dergelijke certificaten afgewezen door apps, maar de kwetsbaarheid in OpenSSL zorgt ervoor dat het niet-ondertekende certificaat wel geaccepteerd wordt. 

Deze fout treft OpenSSL-versies 1.1.1h en nieuwer. De fout werd gevonden door Akamai-onderzoekers Xiang Ding en Benjamin Kaduk en is nu ook gedicht.