Dit treft vrijwel zeker uw organisatie
*UPDATED 2022-11-03*
Er is een ernstige kwetsbaarheid ontdekt in de huidige versies van OpenSSL die onmiddellijk moet worden gepatcht. Het OpenSSL Project heeft versie 3.0.7 uitgebracht op 2 november 2022; het is een zeer belangrijke update die onmiddellijk moet worden uitgevoerd.
Om dat iets meer uit te leggen: OpenSSL is een softwarebibliotheek die op grote schaal wordt gebruikt om veilige netwerkverbindingen mogelijk te maken. En met algemeen gebruikt, bedoel ik bijna alomtegenwoordig, als je HTTPS gebruikt, is de kans groot dat je OpenSSL gebruikt. Bijna iedereen doet dat.
Dus, dit is iets waar bijna iedereen zich bewust van moet zijn.
OpenSSL wordt ontwikkeld door het OpenSSL-project, dat op woensdag 26 oktober aankondigde de volgende dinsdag, 1 november, een patch uit te brengen voor een kritiek beveiligingslek.
Dit is hoe het OpenSSL-project een kritieke kwetsbaarheid definieert:
"Kritieke kwetsbaarheid. Dit treft veel voorkomende configuraties en die zijn waarschijnlijk ook exploiteerbaar. Voorbeelden zijn een aanzienlijke openbaarmaking van de inhoud van het servergeheugen (waarbij mogelijk gebruikersgegevens worden onthuld), kwetsbaarheden die gemakkelijk op afstand kunnen worden uitgebuit om de privésleutels van de server te compromitteren of waarbij uitvoering van code op afstand waarschijnlijk wordt geacht in veel voorkomende situaties. Deze problemen worden geheim gehouden en leiden tot een nieuwe release van alle ondersteunde versies. We zullen proberen deze zo snel mogelijk aan te pakken."
[UPDATE] Gelukkig is de ernst van deze kwetsbaarheid na het testen herzien. Het is nog steeds "hoog", maar het kan worden verholpen met alleen een update naar OpenSSL 3.0.7 en er hoeven geen certificaten te worden vervangen.
Volgens het OpenSSL-project:
Een buffer overrun kan worden veroorzaakt bij de verificatie van X.509-certificaten, met name bij het controleren van de naambeperking. Merk op dat dit gebeurt na verificatie van de handtekening van de certificaatketen en vereist dat een CA een kwaadaardig certificaat heeft ondertekend of dat een toepassing doorgaat met certificaatverificatie ondanks het feit dat er geen pad naar een vertrouwde uitgever is. Een aanvaller kan een kwaadaardig e-mailadres in een certificaat gebruiken om een willekeurig aantal bytes met het teken `.' (decimaal 46) op de stack over te laten lopen. Deze buffer overflow kan leiden tot een crash (met als gevolg een denial of service).
In een TLS client kan dit worden veroorzaakt door verbinding te maken met een kwaadaardige server. In een TLS-server kan dit worden veroorzaakt als de server om client-authenticatie vraagt en een kwaadwillende client verbinding maakt.
OpenSSL versies 3.0.0 tot 3.0.6 zijn kwetsbaar voor dit probleem.
Zorg ervoor dat de juiste belanghebbenden in uw organisatie op de hoogte zijn van deze kwetsbaarheid, de mogelijke ernst ervan en de nieuwe versie van OpenSSL (3.0.7).
Als u die persoon bent, moet u controleren of u inderdaad OpenSSL gebruikt (dat doet u) en welke versie u gebruikt. Hier is de nuance, dit treft versie drie, dus als je 3.0.6 of eerder gebruikt (geef niet toe) moet je dit onmiddellijk patchen.
Als u versie 1.1.1 gebruikt, heeft deze kwetsbaarheid geen invloed op u, maar er komt ook een 1.1.1 update aan - versie 1.1.1s - die u nog steeds moet maken.
Vergeet niet dat hoe langer u wacht met updaten, hoe langer uw netwerk potentieel kwetsbaar is.
Raadpleeg OpenSSL.org/source voor volledige richtlijnen voor het updaten van OpenSSL.
GlobalSign is er trots op uw vertrouwde digitale partner te zijn, we volgen deze situatie op de voet en zullen updates blijven geven op de blog en via directe communicatie met klanten (e-mail) als verdere actie vereist is.
