Leestijd: 1 minuut
OpenSSL, de populaire open source-implementatie van het SSL-protocol, heeft updates uitgebracht die negen problemen verhelpen, waaronder verschillende kritieke beveiligingsproblemen.
Dit omvat problemen die kunnen worden veroorzaakt door een denial-of-service (DOS) -aanval. Een DOS overspoelt een server met berichten om grote hoeveelheden geheugen te verbruiken of informatie te lekken.
Kritieke problemen opgelost
De patches verhelpen de volgende kritieke beveiligingsproblemen:
- Voorkomen dat een aanvaller het beveiligingsniveau van de verbinding kan verlagen, minder veilig dan TLS 1.0.
- Voorkomen dat een aanvaller een foutconditie afdwingt die OpenSSL om te crashen tijdens het verwerken van DTLS-pakketten omdat geheugen tweemaal wordt vrijgemaakt.
- Voorkomen dat een kwaadwillende server een hervatte sessie gebruikt wanneer een multithread-client verbinding maakt om een ec-puntindelingsextensie te verzenden en tot 255 bytes naar vrijgemaakt geheugen te schrijven.
OpenSSL is onder de loep genomen sinds de onthulling in april van de zogenaamde Heartbleed-bug, die kan worden uitgebuit om te omzeilen SSL om communicatie tussen een browser en een server vast te leggen in een niet-gecodeerde indeling. OpenSSL wordt gebruikt door bijna 20% van alle webservers, maar het project wordt onderhouden door ongeveer 10 fulltime medewerkers. Ze zijn voornamelijk afhankelijk van bijdragen en donaties van ontwikkelaars. Als reactie op de Heartbleed-bug zijn talloze vooraanstaande bedrijven naar voren gekomen om ondersteuning te bieden.
Updates beschikbaar
De volgende updates zijn beschikbaar:
• OpenSSL 0.9.8-gebruikers moeten upgraden naar 0.9.8zb
• OpenSSL 1.0.0-gebruikers moeten upgraden naar 1.0.0n
• OpenSSL 1.0.1-gebruikers moeten upgraden naar 1.0.1i
Verwante bronnen
DDoS-aanval dwingt Wikipedia offline
TEST JE E-MAILBEVEILIGING KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART Bron: https://blog.comodo.com/it-security/openssl-updates-fix-critical-security-vulnerabilities/
