OpenSSL-patch voor ernstige kwetsbaarheid verschenen
Het OpenSSL-ontwikkelteam heeft gisteravond een patch uitgebracht waarmee een kritieke kwetsbaarheid in die veelgebruikte library verholpen wordt. Het is pas de tweede keer dat er een kritieke patch verschijnt voor OpenSSL. De vorige verscheen in 2016.
© Shutterstock.com
Shutterstock.com
Het ontwikkelteam waarschuwde vorige week al dat er een kritiek gat zit in de 3.0-reeks van OpenSSL, al werden toen nog geen details gegeven over het probleem. In de releasenotes van OpenSSL 3.0.7 - waarmee het probleem wordt opgelost - staat nu dat er twee bufferoverflows verholpen zijn, namelijk CVE-2022-3786 en CVE-2022-3602. Beide kwetsbaarheden kunnen voor een denial of service (DoS) zorgen, maar de tweede kwetsbaarheid kan potentieel ook gebruikt worden om op afstand eigen code uit te voeren (remote code execution, RCE). Door het wijdverbreide gebruik van OpenSSL, ook juist in andere techproducten, is de RCE-mogelijkheid erg interessant voor kwaadwillenden.
Struikelen over een punt
Beide problemen worden getriggerd via verificatie van X.509-certificaten. De ontwikkelaars van OpenSSL geven echter geen verdere details over hoe dit precies in zijn werk gaat. De bufferoverflow is op twee manieren te triggeren. Allereerst kunnen aanvallers een e-mailadres aanmaken met een specifiek aantal bytes, waarin een punt voorkomt. Daarnaast kan het probleem in een TLS-server getriggerd worden als die server om clientverificatie vraagt en er verbinding wordt gemaakt met een malafide client.
Volgens OpenSSL zijn voor CVE-2022-3602 wel diverse beperkende maatregelen mogelijk, waardoor de ernst van die tweede, RCE-faciliterende kwetsbaarheid niet langer als kritiek ingeschat wordt. De ernst van de fout wordt nu als hoog aangemerkt. Ook het NCSC (Nationaal Cyber Security Centrum) van de Nederlandse overheid schat de ernst nu minder groot in dan voorheen. Toch is het raadzaam om ICT-omgevingen door te lopen op producten die mogelijk OpenSSL en dan een kwetsbare versie bevatten.
Lange lijst met getroffen producten
De OpenSSL 3.0-reeks die kwetsbaar is, wordt volgens het NCSC door veel producten gebruikt, zo blijkt uit de lange lijst die de security-organisatie heeft ogpesteld. Zo komt de library voor in Linux-distributies als Arch, Debian, Ubunto en OpenSUSE, maar ook in diverse appliances. Daaronder vallen ook security appliances, zoals die van Palo Alto Networks en Fortinet.
"De mogelijkheid bestaat nog steeds dat in uw organisatie gebruik wordt gemaakt van een kwetsbare versie van OpenSSL", aldus het NCSC. De organisatie adviseert daarom om het beveiligingsadvies te lezen en waar nodig actie te ondernemen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee