Groot beveiligingslek in SSL

Geschreven door Ray Bogman.

SSL beveiligingslek heartbleed

Gisterenavond is bekend gemaakt dat er een groot beveiligingslek is aangetroffen in SSL (genaamd Heartbleed). Het betreft de versies:

  • OpenSSL 1.0.1 tot en met 1.0.1f

De volgende versies hebben GEEN probleem en zijn veilig:

  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0 branch
  • OpenSSL 0.9.8 branch

Wat is het risico?

Via het lek is het mogelijk een inkijkje in het geheugen te nemen en is van alles te achterhalen, tot en met de sleutels die worden gebruikt om gebruikersnamen, wachtwoorden en versleutelde e-mail te oncijferen.

Dit lek is om twee redenen extra ernstig:

  1. Ten eerste laat een aanvaller geen sporen achter; er is dus geen methode om vast te stellen of men slachtoffer is geweest van dit type aanval. Als men erop bedacht is, kan men zijn intrusion detection-systeem wel programmeren om misbruik van het lek te herkennen. Maar zelfs dan is het volgens de vinders ondoenlijk om het uitlezen te voorkomen. Men kan ook niet zien of in het verleden een hack is geweest en de sleutels al bemachtigd zijn.

  2. Het lek staat al open sinds 14 maart 2012 en dus is de kans aanwezig dat een hack heeft plaatsgevonden. Alleen een patch installeren is niet afdoende. De patch helpt alleen tegen toekomstige pogingen het lek te misbruiken. Mocht een aanvaller bij een hack langs deze weg al sleutels hebben bemachtigd, dan blijven die ook na het aanbrengen van de patch bruikbaar. De patch dicht alleen het gat in OpenSSL. Om het probleem echt te verhelpen, zou de uitbater van de website zijn certificaten moeten wijzigen, zodat de eventueel bemachtigde encryptiesleutels onwerkbaar worden.

Wat moet ik doen?

Wij raden onze klanten aan om de patch te installeren en zo mogelijk een het SSL certificaat te wijzigen. Mocht u niet weten welke versie u heeft dan kunnen we u helpen. Mail ons via ons supportaanvraagformulier of bel ons op 020 337 59 61.

Meer informatie

Voor meer informatie kunt u de volgende artikelen lezen:

    www.automatiseringgids.nl/nieuws/2014/15/gapend-gat-in-ssl-beveiliging-gevonden
    heartbleed.com

Byte klanten

Mocht u klant van Byte zijn dan hoeft u geen actie te ondernemen. Lees hier meer over op de website van Byte: www.bytenoc.nl/150-onderhoud-update-preventief-updaten-ssh-host-certificaten-en-herstarten-webservices.

meer info   of   

Bel nu! 020 337 5961

Ray BogmanDit artikel is geschreven door Ray Bogman, mede-oprichter van SupportDesk en vervult zijn rol als Technisch Directeur.

Google+ | LinkedIn | Twitter

Are u ready 4 Magento 2?

Are u ready 4 Magento 2?

Are you currenty using Magento 1, and looking forward to continue your business using the latest functionality in ecommerce, than Magento 2 is ready for you.

Magento 2 is a brand new platform and ready to serve your ecommerce needs now and in the future.

more info

Stel je vraag

Stel je vraag

Stap 1. Impact analyse

Stap 1. Impact analyse

Stap 2. Pre-paid ticket

Stap 2. Pre-paid ticket

Stap 3. Uitvoeren

Stap3: Uitvoeren

Condoom Anoniem: De eerste Magento 2 Open Source shop in een Magento Cloud (Commerce) omgeving https://t.co/DTQYY63330

Bel nu! 020 337 5961

SupportDesk B.V.
Hogehilweg 19
1101 CB Amsterdam

E-mail: support @ supportdesk.nu

meer gegevens