OpenSSL Patch
Het projectteam achter OpenSSL komt deze week met een patch voor twee kwetsbaarheden, waaronder een in de categorie ‘hoog’ als het gaat om de ernst van het lek. Dit is een niveau onder ‘kritiek’. Het is nog niet duidelijk om welke kwetsbaarheden het precies gaat.
OpenSSL komt deze week met patch voor lek met hoog risico
De versies die de kwetsbaarheden moeten opheffen zijn 1.0.2f en 1.0.1r, deze komen donderdag beschikbaar. Er zijn geen aanvullende details bekend, enkel dat het gaat om twee kwetsbaarheden met de inschatting ‘hoog’ en ‘laag’. OpenSSL hanteert vier niveaus om de ernst van een kwetsbaarheid in te schatten, waarbij ‘laag’ het laagste niveau is en ‘kritiek’ het hoogste niveau. Het wordt dan ook aangeraden om een update uit te voeren, als de patch beschikbaar is.
OpenSSL kwam in april 2014 in het nieuws vanwege de kritieke Heartbleed-bug, die het mogelijk maakte om het interne geheugen van een webserver uit te lezen. Vaak hebben kwetsbaarheden in OpenSSL grote impact. De software komt bijvoorbeeld voor op meer dan 98 procent van alle Debian-machines, dit is een Linux-versie die populair is voor gebruik op servers. Deze gebruiken OpenSSL voor het aanbieden van beveiligde ssl- en tls-verbindingen. Google gebruikt sinds 2014 een fork van de software, genaamd BoringSSL.
