Heartbleed bug: Serieus beveiligingslek in OpenSSL ontdekt

8 April 2014

Op 7 april is er een beveiligingslek bekend geworden in de laatste versies van OpenSSL (1.0.1), waarbij het voor een aanvaller mogelijk is om in bezit te komen van versleutelde informatie en de private keys welke voor deze versleuteling gebruikt worden. OpenSSL wordt vooral gebruikt op Linux servers in combinatie met bijvoorbeeld Apache. Hierdoor zijn een groot aantal webservers kwetsbaar.

Wat is er precies aan de hand?

Er zit een fout in de OpenSSL implementatie van de TLDS/DTLS heartbeat extensie (RFC6520) van OpenSSL. Door misbruik te maken van dit lek is het voor een aanvaller mogelijk om geheugen van een server te lezen.

Wat is er kwetsbaar?

Alle 1.0.1 tot en met 1.0.1f versies van OpenSSL zijn kwetsbaar. Versie 1.0.1g van OpenSSL lost dit probleem op.

Eerdere versies van OpenSSL (waaronder 0.9.8 en 1.0.0) zijn niet kwetsbaar.

Daarnaast kan software gebaseerd op OpenSSL kwetsbaar zijn. Het probleem beperkt zich niet tot enkel beveiligde websites, ook andere protocollen waarbij SSL gebruikt wordt zoals SMTP, IMAP en XMPP kunnen kwetsbaar zijn en dienen te worden aangepast.

Welke servers zijn getroffen door dit probleem?

Deze fout is geïntroduceerd in OpenSSL in december 2011, bijna alle recente Linux versies en distributies zijn hierdoor kwetsbaar.

Wat moet ik doen als ik een kwetsbare versie van OpenSSL gebruik?

OpenSSL dient allereerst direct gepatched te worden. Indien er nog geen updates beschikbaar zijn bij uw leverancier dan kunt u OpenSSL handmatig compileren met -DOPENSSL_NO_HEARTBEATS . We verzoeken u contact op te nemen met uw leverancier voor exacte informatie.

Controleer na het patchen met de SSLCheck of uw server niet meer kwetsbaar is.

Door het lek in OpenSSL is het mogelijk dat derden in het bezit komen van vertrouwelijke informatie zoals wachtwoorden, creditcard gegevens of de private keys van uw certificaten. Indien u de private keys wilt vervangen dan kunt u na het patchen van de server nieuwe private keys genereren en het certificaat opnieuw laten uitgeven. Hiervoor kan de optie "heruitgifte" in ons Control Panel gebruikt worden. De oude certificaten kunnen op verzoek worden ingetrokken.

Hoe zie ik dat mijn server nog kwetsbaar is?

Onze SSLCheck is aangepast en laat zien of een server kwetsbaar is voor dit probleem.

Wat doet Xolphin?

Xolphin doet er uiteraard alles aan om aanvragen voor heruitgiften zo snel mogelijk te verwerken, en getroffen klanten te assisteren bij het patchen van servers.

Update 9 april:

We hebben zojuist een scan uitgevoerd op alle door ons uitgegeven certificaten om te kijken welke servers nog kwetsbaar zijn. Op dit moment blijken nog 7 % van alle gescande domeinen een onveilige versie van OpenSSL te gebruiken. We zijn momenteel bezig met het informeren van deze klanten.

Meer informatie

https://www.openssl.org/news/secadv_20140407.txt

https://access.redhat.com/security/cve/CVE-2014-0160

http://heartbleed.com/

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

 

 

 

 

 

 

 

 

 

 

 

 

 

point up