OpenSSL kent ernstig lek

Toegevoegd door - Ariën -, 12 jaar geleden

OpenSSL kent ernstig lekIn de beveiligingssoftware OpenSSL is een ernstig lek aangetroffen. De makers raadt gebruikers aan zo snel mogelijk te upgraden naar OpenSSL 1.0.1g. De bug betreft een 'Heartbleed Bug', en zou al enkele jaren in de software zitten. Met de kwetsbaarheid is het mogelijk dat de gegevens die onder normale omstandigheden beschermd worden door via SSL/TLS juist afgeluisterd kunnen worden.

De SSL/TLS wordt gebruikt als beveiligingslaag bij het bezoeken van online diensten zoals web, e-mail, instant messaging (IM) en Virtual Private Networks (VPN).

Kwetsbaarheid
Via de kwetsbaarheid in de bug is het met weinig moeite zomaar mogelijk om 64k van het geheugen lezen van de systemen die de kwetsbare versies van de OpenSSL software gebruiken. Hierdoor kunnen gevoelige gegevens in handen van anderen vallen. Een groot nadeel van het lek is dat er bij misbruik ervan geen sporen worden achtergelaten.
De kwetsbaarheid is te scannen op: http://filippo.io/Heartbleed/

Relatief weinig 'zwakke' sites
Volgens een onderzoek van ICT-website Tweakers waren er woensdagmiddag nog maar acht van de 500 populairste sites in Nederland nog kwetsbaar voor de Heart-Bleed bug.

Ook Netcraft heeft een onderzoek gedaan naar de wereldwijde impact van het lek. Hiermee zouden ongeveer 17,5 procent van alle SSL-sites wereldwijd, in totaal een half miljoen, aanvankelijk kwetsbaar zijn geweest, becijferde Netcraft.

Wereldwijd zijn systeembeheerder druk in touw om de versie van OpenSSL te voorzien van de nieuwste patch.

Gerelateerde nieuwsberichten

24/02/2017 CloudFlare lekte gebruikersdata
15/02/2015 Beveiligingsonderzoeker vindt lek in Facebook
28/01/2015 Gevaarlijk lek ontdekt in glibc-module van Linux

 

Er zijn 5 reacties op 'Openssl kent ernstig lek'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Jordi Kroon
Jordi Kroon
12 jaar geleden
 
Gisteren dit lek direct gefixt. Let er op dat je update naar openssl versie 1.0.1g. Lukt dit niet recompile dan met de -DOPENSSL_NO_HEARTBEATS flag.
Ozzie PHP
Ozzie PHP
12 jaar geleden
 
0 +1 -0 -1
Heartbleed Bug... dat klinkt angstaanjagend...!
Bart V B
Bart V B
12 jaar geleden
 
0 +1 -0 -1
Ook gefixed, vergeet alleen niet om je server een reboot te geven.
Dos Moonen
Dos Moonen
12 jaar geleden
 
0 +1 -0 -1
Zo zie je maar hoe belangrijk het valideren van user input kan zijn!
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Ward van der Put
Ward van der Put
12 jaar geleden
 
0 +1 -0 -1
De NSA maakte al twee jaar misbruik van de Heartbleed-bug. Niet alleen OpenSSL op je eigen servers patchen daarom, maar ook overal al je kritieke wachtwoorden wijzigen.

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.